Tilkynnt var um alvarlegan veikleika í PuTTY sem hefur áhrif á PuTTY, FileZilla, WinSCP, TortoiseGit og TortoiseSVN ásamt öðrum þjónustum sem nota PuTTY [1]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.
Lýsing á veikleika
Veikleikinn CVE-2024-31497 hefur ekki fengið CVSSv3 veikleikastig en er flokkaður sem alvarlegur og gerir aðilum kleift að komast yfir NIST P-521 einkalykil notenda. Til að misnota veikleikann þarf árásaraðili að komast að um 60 undirskrifum sem búnar hafa verið til af PuTTY (e. ~60 valid signatures generated by a PuTTY component). Veikleikinn hefur áhrif á PuTTY útgáfur 0.68 til 0.80, FileZilla útgáfur fyrir 3.67.0, WinSCP útgáfur fyrir 6.3.3, TortoiseGit útgáfur fyrir 2.15.0.1 og TortoiseSVN útgáfur til 1.14.6 [2].
Tilvísanir
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-31497
[2] https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html