ГлавнаяБаза уязвимостей БДУ → BDU:2024-02912
10критическая

BDU:2024-02912 (CVE-2024-31497)

Уязвимость компонента генерации подписи из закрытых ключей ECDSA клиентского программного обеспечения для различных протоколов удалённого доступа Putty, позволяющая нарушителю выполнить перехват сеанса
Опубликовано: 2024-04-16
Описание

Уязвимость компонента генерации подписи из закрытых ключей ECDSA клиентского программного обеспечения для различных протоколов удалённого доступа Putty связана с возможностью восстановления секретного ключа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить перехват сеанса путём восстановления закрытого ключа

Затрагиваемое ПО и версии
РЕД ОС (7.3)PuTTY (от 0.68 до 0.81)FileZilla Client (до 3.67.0)WinSCP (от 5.9.5 до 6.3.2 включительно)TortoiseGit (от 2.4.0.2 до 2.15.0.1)TortoiseSVN (от 1.10.0 до 1.14.6 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отзыв или удаление старых открытых ключей из файлов authorized_keys;
- ограничение использования 521-битного ECDSA ключа, остальные типы ключей не затронуты;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания трафика, указывающего на попытки эксплуатации уязвимости.

Использование рекомендаций производителя:
Для Putty:
https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html
https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html

Для FileZilla:
https://filezilla-project.org/versions.php

Для WinSCP:
https://winscp.net/eng/docs/history

Для TortoiseGit:
https://tortoisegit.org/download/#hotfix

Для TortoiseSVN:
https://tortoisesvn.net/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.cybersecurity-help.cz/vdb/SB2024041566https://vuldb.com/ru/?id.260833https://bugzilla.redhat.com/show_bug.cgi?id=2275183https://bugzilla.suse.com/show_bug.cgi?id=1222864https://docs.ccv.brown.edu/oscar/connecting-to-oscar/ssh/ssh-agent-forwarding/key-generation-and-agent-forwarding-with-puttyhttps://filezilla-project.org/versions.phphttps://git.tartarus.org/?h=c193fe9848f50a88a4089aac647fecc31ae96d27&p=simon/putty.githttps://github.com/advisories/GHSA-6p4c-r453-8743
Проверьте безопасность своего сайта и почты → Полная проверка домена