Wichtiges Update für freien SSH-Client 20.03.2019, 14:10 Uhr

Kritische Lücken in Putty behoben

Gleich mehrere schwere Sicherheitslücken haben die Putty-Entwickler in ihrem freien SSH-Client gestopft. Die Fehler wurden im Rahmen des Bug-Bounty-Programms Fossa entdeckt, das die EU finanziert.
Command Line SSH
(Quelle: dennizn / Shutterstock.com)
Im Open-Source-SSH-Client Putty wurden mehrere schwere Fehler behoben. Die Sicherheitslücken erlauben unter anderem das Überschreiben von Speicher durch die Verbindung zu einem bösartigen Server. Diese Memory-Corruption-Lücke kann bereits beim RSA-Schlüsselaustausch ausgenutzt werden, noch bevor die Serveridentität bestätigt wurde. Angreifer können den Fehler nutzen, um Schadcode auf dem System einzuschleusen.
Gefunden wurden die Fehler im Rahmen des von der EU finanzierten Bug-Bounty-Programms Fossa. Im Update auf die neue Putty-Version 0.71 wurden die Sicherheitslücken gestopft. Aktiven Nutzern der Open-Source-Lösung wird daher empfohlen, zeitnah auf das neue Release zu aktualisieren.
Über das Update haben die Entwickler auch weitere Fehler behoben. So war unter Windows etwa ein Angriff mit manipulierten Help-Dateien möglich, die sich im selben Dateipfad wie Putty befinden. Ausserdem wurde eine Lücke beseitigt, die unter Unix einen Speicherüberlauf beim Server-to-Client Forwarding auslöst.
Seite 1/2
Auf einer Seite lesen
  1. Kritische Lücken in Putty behoben
  2. EU fördert Absicherung von Open-Source-Technologien
Artikel drucken
Stefan Bordel
Das könnte Sie auch interessieren
#LockedShields2024 vor 1 Tag
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
vor 1 Tag
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024
World Cybercrime Index 11.04.2024
Cybercrime konzentriert sich auf sechs Länder
China, Russland, Ukraine, USA, Rumänien und Nigeria sind laut World Cybercrime Index führend.
 
11.04.2024