Kritiek lek in ssh-client PuTTY
Een kritieke kwetsbaarheid is ontdekt in PuTTY, een populaire ssh-client. Het beveiligingslek geeft aanvallers de mogelijkheid bepaalde private keys te stelen. Een patch is beschikbaar.
Het lekt treft versie 0.68 tot en met 0.80 van PuTTY. Via het lek kunnen kwaadwillenden 512-bit Elliptic Curve Digital Signature Algorithm (ECDSA) private keys stelen. Het lek zit in de code die deze sleutels gebruikt voor het genereren van signatures. Met behulp van tien gesigneerde berichten en de public key kunnen kwaadwillende de private keys achterhalen. Dit stelt hen in staat tot het vervalsen van signatures, waardoor zij kunnen inloggen op servers waarop de key wordt gebruikt.
Gebruikers van 521-bit ECDSA-keys worden opgeroepen deze in te trekken, de oude public key te verwijderen uit alle OpenSSH authorized_keys bestanden evenals het equivalent in andere ssh-servers. De sleutel kan vervolgens door een nieuw gegenereerde sleutel worden vervangen. Het lek is gedicht in versie 0.81 van PuTTY. Meer informatie is hier beschikbaar.
Dutch IT events
Alle events
Meer over Security
Over Wouter Hoeffnagel
