Schwachstelle in SSH-Client PuTTY enttarnt

Die von Forschenden der Ruhr-Universität Bochum entdeckte Schwachstelle CVE-2024-31497 im SSH-Client PuTTY betreffe PuTTY-Versionen ab 0.68 bis einschließlich 0.80. Die Sicherheitslücke bestehe schon seit etwa Anfang des Jahres 2017. Über CVE-2024-31497 können Angreifende das kryptografische Verfahren Elliptic Curve Digital Signature Algorithm (ECDSA) manipulieren, mit dem sogenannte NIST-P-521-Schlüssel generiert werden. Um einen solchen Schlüssel nachzubilden, sind etwa 60 gültige ECDSA-Signaturen erforderlich. Diese Signaturen lassen sich beispielsweise von kompromittierten Servern oder signierten Git-Commits abgreifen. So berichtet unter anderem die IT-Nachrichtenseite Golem.

Da PuTTY auch in Verbindung mit anderer Software genutzt wird, bestehen bei diesen Programmen ebenfalls Sicherheitsrisiken aufgrund von CVE-2024-31497. Bisher bekannte Programme sind:

• Filezilla in den Versionen 3.24.1 bis 3.66.5
• WinSCP in den Versionen 5.9.5 bis 6.3.2
• Tortoisegit in den Versionen 2.4.0.2 bis 2.15.0
• TortoiseSVN in den Versionen 1.10.0 bis 1.14.6

Für PuTTY steht die Update-Version 0.81 bereit, bei der die Schwachstelle behoben ist. Für Filezilla gilt die Version 3.67.0 als sicher, bei Tortoisegit die Version 2.15.0.1 und bei WinSCP die Version 6.3.3.

Nutzenden wird dringend empfohlen, die Updates von PuTTY sowie weiterer betroffener Software zu installieren.