Wouter Hoeffnagel - 18 april 2024

Kritiek lek in ssh-client PuTTY

Een kritieke kwetsbaarheid is ontdekt in PuTTY, een populaire ssh-client. Het beveiligingslek geeft aanvallers de mogelijkheid bepaalde private keys te stelen. Een patch is beschikbaar.

Kritiek lek in ssh-client PuTTY image

Het lekt treft versie 0.68 tot en met 0.80 van PuTTY. Via het lek kunnen kwaadwillenden 512-bit Elliptic Curve Digital Signature Algorithm (ECDSA) private keys stelen. Het lek zit in de code die deze sleutels gebruikt voor het genereren van signatures. Met behulp van tien gesigneerde berichten en de public key kunnen kwaadwillende de private keys achterhalen. Dit stelt hen in staat tot het vervalsen van signatures, waardoor zij kunnen inloggen op servers waarop de key wordt gebruikt.

Gebruikers van 521-bit ECDSA-keys worden opgeroepen deze in te trekken, de oude public key te verwijderen uit alle OpenSSH authorized_keys bestanden evenals het equivalent in andere ssh-servers. De sleutel kan vervolgens door een nieuw gegenereerde sleutel worden vervangen. Het lek is gedicht in versie 0.81 van PuTTY. Meer informatie is hier beschikbaar. 

Datacollectief BW 13-05-2024 tm 03-06-2024 CompTIA Community Benelux BW 7-31 mei
Datacollectief BN 13-05-2024 tm 03-06-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!