#CVE：PuTTY 使用 ECDSA p-521 密钥对的方式不安全；攻击者或能从大量签名中还原私钥。

建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥；更新软件不能保护已存在风险的私钥。

- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中，此类密钥对的公钥通常以 ecdsa-sha2-nistp521 识别名开头。
- 其它类别密钥，包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准，不过这也无可厚非：PuTTY 在 2001 年就存在此类使用例，而标准 RFC6979 在 2013 年才发布。 [1]

CVE: CVE-2024-31497
fixed-in: 0.81

cve.mitre.org/~
1. www.chiark.greenend.org.uk/~

#CVE #PuTTY

层叠 - The Cascading

#CVE：PuTTY 使用 ECDSA p-521 密钥对的方式不安全；攻击者或能从大量签名中还原私钥。

建议立即废弃使用有任何被 PuTTY 0.68-0.80 版本等软件使用过的 ECDSA NIST p-521 密钥；更新软件不能保护已存在风险的私钥。

- 受影响的软件还包括 FileZilla 3.67.0 前、WinSCP 6.3.3 前、TortoiseGit 2.15.0.1 前、TortoiseSVN 1.14.6 前等。在这些软件上使用过的 ECDSA p-521 密钥均受影响。
- 在 SSH 中，此类密钥对的公钥通常以 ecdsa-sha2-nistp521 识别名开头。
- 其它类别密钥，包括尺寸更小的 ECDSA p-256/p-384 等及 Ed25519 等不受影响。
- 出现此问题的原因是 PuTTY 对密钥对的使用方式不标准，不过这也无可厚非：PuTTY 在 2001 年就存在此类使用例，而标准 RFC6979 在 2013 年才发布。 [1]

CVE: CVE-2024-31497
fixed-in: 0.81

cve.mitre.org/~
1. www.chiark.greenend.org.uk/~

#CVE #PuTTY

cve.mitre.org

CVE -
CVE-2024-31497

The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

hottg.com/outvivid/4501

4.7K viewsedited  Apr 16 at 02:46