Kritična ranjivost, identificirana kao CVE-2024-31497, utječe na PuTTY SSH klijent, a proizlazi iz nepravilnosti u generiranju ECDSA jednokratnih brojeva (engl. nonce) prilikom korištenja NIST P-521 eliptične krivulje. Napadači mogu iskoristiti ovu nepravilnost kako bi otkrili privatne ključeve nakon proučavanja relativno malog broja ECDSA potpisa.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 

PuTTY prilikom korištenja NIST P-521 eliptične krivulje, generira ECDSA jednokratne brojeve s prvih 9 bitova postavljenih na nulu. Ova značajna nepravilnost omogućuje napadačima korištenje najsuvremenijih tehnika temeljenih na rešetki (engl. lattice-based techniques) kako bi otkrili potpuni privatni ključ iz ovih nepravilnih jednokratnih brojeva nakon prikupljanja oko 60 valjanih ECDSA potpisa.

Zahvaćeni proizvodi:

Preporuke:

Preporučuje se žurno ažuriranje ranjivog softvera na ispravnu verziju kako bi se ublažila ranjivost. Također se preporučuje pregledavanje i zamjena bilo kojih ključeva NIST P-521 (521-bitni ECDSA, ecdsa-sha2-nistp521) koji mogu biti korišteni s ranjivim verzijama PuTTY-a, budući da se ti ključevi smatraju kompromitiranima.

Više informacija moguće je pročitati na sljedećoj poveznici:

[inicijalna objava: 18.4.2024 - 10:32]