Уязвимость PuTTY восстанавливает закрытые ключи

Разработчики популярного SSH- и Telnet-клиента PuTTY сообщили о выявлении серьезной уязвимости, которая затрагивает версии программы с 0.68 по 0.80. Уязвимость, идентифицированная под идентификатором CVE-2024-31497, может привести к компрометации закрытых ключей NIST P-521 (ecdsa-sha2-nistp521). Это означает, что потенциальный злоумышленник, владея несколькими подписанными сообщениями и открытым ключом, может восстановить закрытый ключ и подделать подпись.

В своем официальном уведомлении разработчики благодарят Фабиана Боймера и Маркуса Бринкманна из Рурского университета в Бохуме за выявление уязвимости. Пояснение о том, как работает уязвимость, представлено в сообщении от Фабиана Боймера в рассылке Open Source Software Security (oss-sec). Брешь стала возможной из-за использования одноразовых чисел ECDSA, которые могут помочь восстановить закрытый ключ.

Эта уязвимость имеет серьезные последствия, поскольку позволяет злоумышленнику аутентифицироваться на серверах, которые использует жертва. Однако для успешной атаки злоумышленнику необходимо скомпрометировать сервер, ключи от которого он пытается украсть.

Список программ, затронутых уязвимостью, включает такие известные продукты, как
FileZilla (3.24.1 — 3.66.5);
WinSCP (5.9.5 — 6.3.2)
TortoiseGit (2.4.0.2 — 2.15.0)
TortoiseSVN (1.10.0 — 1.14.6)

Рекомендуется установить патчи как можно скорее, чтобы защититься от этой уязвимости.

Тут можно прочесть статью как сделать SSH ключ с помощью PuTTY, а тут скачать с официального сайта

Статья «Как сгенерировать SSH ключ с помощью PuTTY»

Ссылка на загрузку с официального сайта