Vulnerabilità in PuTTY

Mag 13, 2024 | Articoli

Sintesi

Rilevata una vulnerabilità in PuTTY, noto client open source per la gestione remota (SSH, Telnet e rlogin) di sistemi informatici.

Tale vulnerabilità, dovuta ad un’errata implementazione del protocollo ECDSA (NIST P-521), comporta la generazione di chiavi di cifratura asimmetrica non conformi allo standard. Ne consegue che quanto cifrato con tali chiavi potrebbe essere analizzato – tramite tecniche di attacco sofisticate – per ricostruire la secret key.

Note (aggiornamento del 13/05/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-31497 risulta disponibile in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,12/100)1  (aggiornato al 13/05/2024)

Tipologia

  • Information Disclosure

Prodotti e versioni affette

  • PuTTY, dalla versione 0.68 alla versione 0.80

Di seguito una lista non esaustiva di prodotti correlati vulnerabili:

  • FileZilla, dalla versione 3.24.1 alla versione 3.66.5
  • WinSCP, dalla versione 5.9.5 alla versione 6.3.2
  • TortoiseGit, dalla versione 2.4.0.2 alla versione 2.15.0
  • TortoiseSVN, dalla versione 1.10.0 alla versione 1.14.6

Azioni di mitigazione

Si raccomanda di aggiornare tempestivamente i software vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Si evidenzia inoltre che tutte le coppie di chiavi ECDSA – NIST P-521 generate tramite le versioni del software vulnerabili sono da considerarsi compromesse. Si raccomanda di sostituire tali chiavi con nuove coppie generate con le versioni aggiornate dei prodotti vulnerabili.

Identificatori univoci vulnerabilità

CVE-2024-31497

Riferimenti

https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html

https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html