Ruhr-Uni-Bochum

Langbestehende Sicherheitslücke in SSH-Client PuTTY entdeckt

Private ECDSA-Schlüssel könnten dadurch kompromittiert werden.

Copyright: CASA, Michael Schwettmann

Eine seit Jahren bestehende kritische Sicherheitslücke in der weit verbreiteten SSH-Client-Software PuTTY wurde kürzlich von Forschern des Horst-Görtz-Instituts für IT-Sicherheit und dem Exzellenzcluster CASA (Ruhr-Universität Bochum) aufgedeckt. Die Schwachstelle, registriert als CVE-2024-31497, betrifft alle Versionen von PuTTY ab 0.68 bis einschließlich 0.80, die seit dem 21. Februar 2017 veröffentlicht wurden.

Fabian Bäumer und Marcus Brinkmann vom Lehrstuhl für Netz- und Datensicherheit gaben auf der auf der oss-security Mailingliste bekannt, dass die Lücke dazu führen kann, dass private ECDSA-Schlüssel, die auf der NIST P521 -Kurve basieren, kompromittiert werden können. Ein Angreifer kann einen privaten Schlüssel anhand von etwa 60 gültigen ECDSA-Signaturen rekonstruieren, die von einer beliebigen PuTTY-Komponente mit demselben Schlüssel erzeugt wurden. Diese Signaturen könnten beispielsweise von einem kompromittierten Server oder signierten Git-Commits abgegriffen werden.

Die Software ist innerhalb der IT-Branche recht weit verbreitet und wir vor allem von Administratoren genutzt, um auf Server zuzugreifen. Die Entdeckung der Schwachstelle zeigt, dass Schwachstellen auch in weit verbreiteter Software jahrelang unentdeckt bleiben können und ein erhebliches Sicherheitsrisiko darstellen.

Neben PuTTY sind laut den Forschern auch andere Tools betroffen, in denen anfällige Versionen der Software enthalten sind, darunter FileZilla (Version 3.24.1 bis 3.66.5), WinSCP (Version 5.9.5 bis 6.3.2), TortoiseGit (Version 2.4.0.2 bis 2.15.0) und TortoiseSVN (Version 1.10.0 bis 1.14.6).

Einige der betroffenen Softwareanbieter haben bereits Patches veröffentlicht, darunter PuTTY 0.81, FileZilla (Version 3.67.0) und TortoiseGit (Version 2.15.0.1). Ein WinSCP Patch ist inzwischen unter der Versionsnummer 6.3.3 verfügbar.Nutzern von TortoiseSVN wird empfohlen, vorerst manuell die neueste PuTTY-Version zu verwenden, bis ein Patch verfügbar ist.

Zur Original-Mitteilung der Wissenschaftler: https://www.openwall.com/lists/oss-security/2024/04/15/6

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.