Обновление SSH-клиента PuTTY 0.64 с устранением уязвимости
Спустя полтора года с момента прошлого выпуска представлен релиз популярного SSH-клиента для Unix и Windows — PuTTY 0.64, исходные тексты которого доступны под лицензией MIT. В новой версии устранена уязвимость, проявляющаяся при аутентификации по закрытым ключам. Проблема заключается в том, что после проведения аутентификации закрытый ключ пользователя остаётся в памяти процесса и в дальнейшем может быть получен через чтение содержимого памяти или оказаться в core-дампе или разделе подкачки. Кроме того, в новом выпуске также устранена уязвимость, вызванная отсутствием проверки диапазонов значений при обмене ключами Diffie-Hellman. Из не связанных с безопасностью изменений можно отметить реализацию поддержки совместного использования соединений SSH-2, что позволяет нескольким экземплярам PuTTY использовать одно соединение к идентичному хосту. Также добавлены новые опции командной строки, позволяющие явно определить используемые для хоста ключи.
Ещё новости по теме:
18:20