PuTTY 0.55 beta

Negaidīti ātri ir iznākusi jauna PuTTY 0.55 372KiB versija, bet diemžēl tam ir savs iemesls. Kā informēja Viktors, tad visās iepriekšējās versijās ir atrastas ievainojamības.

PuTTY

[1] Heap overflow using Bignum

While PSCP is authenticating to the server this vulnerability can be triggered by sending a specially crafted big number (the “base” big number sent by the server).

[2] Another heap overflow using Bignum

A second vulnerability can be triggered in the PuTTY client during the authentication process. By modifying the second big number sent by the server, an attacker can make the PuTTY client crash. We believe this could be exploited by an attacker to execute arbitrary code on the machine running PuTTY.

Jaunās versijas izmaiņu saraksts.

  • Security fix: a vulnerability discovered by Core SecurityTechnologies (advisory number CORE-2004-0705),potentially allowing arbitrary code execution on the client by amalicious server before host key verification, has beenfixed.
  • Bug fix: General robustness of the SSH1 implementation has been improved,which may have fixed further potential security problems although weare not aware of any specific ones.
  • Bug fix: Random noise generation was hanging some computers andinterfering with other processes’ precision timing, and should nownot do so.
  • Bug fix: dead key support should work better.
  • Bug fix: a terminal speed is now sent to the SSH server.
  • Bug fix: removed a spurious diagnostic message in Plink.
  • Bug fix: the `-load’ option in PSCP and PSFTP should work better.
  • Bug fix: X forwarding on the Unix port can now talk to Unixsockets as well as TCP sockets.
  • Bug fix: various crashes and assertion failures fixed..

15 komentāri par “PuTTY 0.55 beta

  1. soyers

    Speciaalisti, varat padaliities savu ssh klientu pieredzee?! Mekleeju ssh klientu, kas atcereetos lietotaajvaardu, paroli un hostu kam konekteeties un paareejaas fiichas buutu kaa putty:) Ir vispaar taads?!

    Atbildēt
  2. koko

    Nu jā… sagribēji sš un paroles atcerēties… Tad jau zūd sš jēga… Vairs nekāda ūberkūlā seķuritī…. Varbūt labāk tomēr ir ievadīt to lietotājvārdu un paroli… Vismaz citi nevarēs atrast tavu paroli un sūdus vārīt 🙂

    Atbildēt
  3. soyers

    2nick147
    Sen neesmu lietojis SecureCRT, bet toreiz man ne visai.
    Saucat mani par slinku, bet, ja darbojies serveru sfeeraa, tad naakas dienaa liist vairaakos serveros un paraleeli straadaat ar vairaakiem useriem. Protams trennee atminju un pirkstu veikliibu vadiit usernamus un paroles katru reizi:) Bet mekleeju joprojaam tipa putty, tikai ar atcereeshanaas fiichu, nekas lieks.

    Atbildēt
  4. Daemon

    Es kaut kaa tomeer pieturos pie SecureCRT, kaut arii tas ir komercprodukts. Dazjkaart iznaak lietot arii putty, bet paarsvaraa gadiijumos uz "sveshaam" mashiinam.

    Atbildēt
  5. jnk

    2 soyers.
    paroles glabāt gan nekur nevajag. tāpēc jau sen ir izdomāta ssh autentifikācija ar privāto atslēgu. sīkāk parakājies webaa. putty šo fīču arī atbalsta, kā jau normāls ssh clients

    Atbildēt
  6. Grrr

    paroles glabāt gan nekur nevajag. tāpēc jau sen ir izdomāta ssh autentifikācija ar privāto atslēgu. sīkāk parakājies webaa. putty šo fīču arī atbalsta, kā jau normāls ssh clients

    tieši tā.
    respektīvi:
    1) tev uz klienta ir sava privātā un publiskā atslēga;
    2) uz serveriem, kur tu konektējies tu pieliec savu publisko atslēgu iekš .ssh/authorized-keys;
    3) slēdzoties klāt visiem šiem serveriem tagad tev būs jāievada viena un tā pati passphrase no atslēgas, nevis lietotāja parole.
    4) sargi savu private key. :]

    Atbildēt
  7. Oct0

    /me lieto SecureCrt (licenzeets – darbs visiem licenzeeja 🙂 Un juutos diezgan laimiigs, ar putty man biezhi sanaaca visaadi gljuki un probleemas (tas gan bija laiku atpakalj tagad neesmu meegjinaajis) paarsvaraa ar kopeeshanu, un sesiju seivoshanu.

    Atbildēt
  8. Grrr

    grr,
    un ja negribas vadīt to passphrase, atslēgu var veidot arī bez tās. īpaši sekjūri nebūs, bet ērti gan

    nu jā, tik nedrošu variantu es drošības dēļ nemaz negribēju apskatīt. :-]

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.