Beveiligingsadvies NCSC-2024-0171 [1.00] [M/H] Kwetsbaarheid verholpen in Putty

NCSC

Putty heeft een kwetsbaarheid verholpen in Putty Client. De kwetsbaarheid in Putty bevindt zich in de wijze waarop de ECDSA nonce wordt aangemaakt bij het gebruik van NIST P-521. Hierdoor is het mogelijk voor een kwaadwillende om de nonce te raden en met behulp van de gesigneerde tekst de private key te achterhalen. Putty wordt ook gebruikt in de volgende producten:

File Zilla
WinSCP
Tortoise GIT
Tortoise SVN

NCSC-2024-0171 [1.00] [De kans op misbruik van deze kwetsbaarheid is gemiddeld en de schade is hoog] Kwetsbaarheid verholpen in Putty

Putty is een gratis en open-source SSH- en telnet-client voor Windows en Unix-systemen. De kwetsbaarheid in Putty Client is opgelost in de nieuwste versie (0.74) van Putty, waarin de manier waarop de ECDSA nonce wordt gegenereerd is aangepast om de beveiliging te verbeteren.

FileZilla is een gratis en open-source FTP-client en WinSCP is een gratis SFTP- en FTP-client voor Windows. TortoiseGIT en TortoiseSVN zijn softwareprogramma’s die integratie bieden tussen Windows Verkenner en de versiebeheersystemen Git en SVN. De leveranciers van deze producten zijn respectievelijk Tim Kosse (FileZilla), Martin Prikryl (WinSCP), The TortoiseSVN team en The TortoiseGit team.

Deze producten maken gebruik van Putty voor SSH- en telnet-verrichtingen en kunnen dus kwetsbaar zijn voor dezelfde kwetsbaarheid als in Putty Client. Indien een kwaadwillende erin slaagt om de private key te achterhalen door middel van de kwetsbaarheid, kan dit leiden tot ongeautoriseerde toegang tot gevoelige gegevens en systemen, wat kan resulteren in datalekken, financiële verliezen en reputatieschade voor de getroffen organisaties. Het is daarom belangrijk om de nieuwste versies van Putty en de gerelateerde producten te installeren om de beveiliging te waarborgen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.


Mitigerende maatregel beschikbaar op advisories.ncsc.nl