Neue Version: Entwickler machen SSH-Client PuTTY sicherer
Ein wichtiges Sicherheitsupdate schlieĂźt mehrere SicherheitslĂĽcken in PuTTY und verbessert Krypto-Funktionen.
(Bild: geralt)
Der vor allem unter Windows weit verbreitete SSH-Client PuTTY ist verwundbar und Angreifer könnten unter Umständen aus der Ferne Schadcode auf Computern ausführen. Neben der Windows-Version ist auch die Ausgabe für Unix-Systeme gefährdet. Die abgesicherte Version von PuTTY 0.71 steht ab sofort zum Download bereit. Es sieht so aus, als wären alle vorigen Ausgaben angreifbar.
Im Changelog kann man nachlesen, dass die Entwickler vor allem an Sicherheitsfunktionen gearbeitet haben. Dabei haben sie unter anderem fĂĽnf Schwachstellen geschlossen. Eine Einstufung des Bedrohungsgrades ist im Changelog nicht verzeichnet. Da viele Attacken aber wohl aus der Ferne funktionieren, um Schadcode auf betroffenen Computern auszufĂĽhren, ist von einer kritischen Einstufung auszugehen.
Die SicherheitslĂĽcken
So könnten Angreifer beispielsweise beim RSA-Schlüsselaustausch vor der Verifikation eingreifen und Speicher mit eigenem Code überschreiben. Außerdem setzt der Zufallszahlengenerator wohl auf Recycling. Unter Windows könnten Angreifer eine Help-Datei im Ordner mit der PuTTY-EXE für Attacken missbrauchen. Unter Unix sind Attacken beim Server-to-Client-Forwarding vorstellbar. Außerdem sollen Angreifer über das Terminal DoS-Attacken auslösen können.
Des Weiteren geben die Entwickler an, den Krypto-Code gegen Seitenkanalangriffe optimiert zu haben. AES, SHA-1 und SHA-256 sollen nun hardwarebeschleunigt berechnet werden.
Auf die Schwachstellen ist das EU-Projekt FOSSA gestoĂźen. Diese Sicherheitsforscher wollen die Sicherheit in Open-Source-Projekten wie 7-zip oder VLC verbessern.
Weitere Anwendungen betroffen
Da unter anderem auch Filezilla und WinSCP Code von PuTTY einsetzen, sind auch diese von einigen dieser LĂĽcken bedroht. Von Filezilla ist die Version 3.41.2 abgesichert. Von WinSCP ist dem Bugtracker zufolge die Ausgabe 5.13.9 repariert. Diese steht aber offensichtlich noch nicht zum Download.
[UPDATE, 19.03.2019 13:15 Uhr]
Entdecker der LĂĽcken im FlieĂźtext eingefĂĽgt.
[UPDATE, 20.03.2019 11:40 Uhr]
Mittlerweile ist die abgesicherte WinSCP-Version 5.13.9 da.
(des)
