【要注意】Windows用のSSHクライアント「PuTTY」に深刻な脆弱性。最新版へ早急なアップデートが必要

[PR]記事内のアフィリエイトリンクから収入を得る場合があります
  • URLをコピーしました!

S 20240417 095752

Windows用のSSHクライアント「PuTTY」に秘密鍵を復元できてしまう深刻な脆弱性が存在することがわかりました。

脆弱性はCVE-2024-31497で追跡されておりルール大学ボーフムのFabian Bäumer氏とMarcus Brinkmann氏によって発見されました。公開されている60個の暗号署名を利用すると、秘密鍵を復元できる可能性があるというもので、PuTTYがSSH認証に使用しているNIST P-521用のECDSA nonces(一時的な暗号番号)を生成する方法が原因だとされています。

脆弱性は「PuTTY 0.68」から「PuTTY 0.80」までに存在し、4月15日に公開された「PuTTY 0.81」で修正されています。また脆弱性の存在するPuTTYを使用する以下のソフトウェアも影響を受けます。

  • FileZilla 3.24.1-3.66.5(3.67.0で修正)
  • WinSCP 5.9.5-6.3.2(6.3.3で修正)
  • TortoiseGit 2.4.0.2-2.15.0(2.15.0.1で修正)
  • TortoiseSVN 1.10.0-1.14.6(最新のPuTTY 0.81のPlinkを使用するようにTortoiseSVNを設定することで緩和できる)

PuTTYや関連ツールを使用している場合、早急に対策版に更新することが推奨されます。

PuTTYが組み込まれているツールは他にも存在する可能性があり、その場合は自分でツールをチェックし、最新版にアップデートする必要があります。

タイトル PuTTY
公式サイト https://www.chiark.greenend.org.uk/~sgtatham/putty/
ソフトアンテナ https://softantenna.com/softwares/667-putty
説明 定番ssh/telnetクライアント。
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次