Abo
  • IT-Karriere:

SSH-Software: Kritische Sicherheitslücken in Putty

In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.

Artikel veröffentlicht am , Hanno Böck
Zwei PCs mit einem SSH-Kanal sicher verbinden - das soll die Software Putty gewährleisten, doch jetzt wurden mehrere kritische Sicherheitslücken gefunden.
Zwei PCs mit einem SSH-Kanal sicher verbinden - das soll die Software Putty gewährleisten, doch jetzt wurden mehrere kritische Sicherheitslücken gefunden. (Bild: Putty)

Die Entwickler der freien Software Putty haben eine neue Version veröffentlicht, in der mehrere Sicherheitslücken behoben wurden. Der kritischste Bug ist eine Memory-Corruption-Lücke, die das Überschreiben von Speicher erlaubte. Diese konnte von einem bösartigen Server noch vor der Überprüfung der Serveridentität ausgelöst werden.

Stellenmarkt
  1. ARI Fleet Germany GmbH, Eschborn, Stuttgart
  2. IGEL Technology GmbH, Augsburg

Putty ist eine Implementierung des SSH-Protokolls. Vor allem unter Windows wird Putty häufig genutzt, es gibt aber auch eine Linux-Version. Das Fossa-Projekt der EU (Free and Open Source Software Auditing) finanziert seit einiger Zeit ein Bug-Bounty-Programm für Putty. Personen, die Sicherheitslücken in der Software finden und an das Projekt melden, können dafür Geldprämien erhalten.

Memory Corruption und Fehler bei der Verwendung von Zufallszahlen

Das hat wohl gut funktioniert: In der jetzt veröffentlichten Version 0.71 sind eine ganze Reihe von kritischen Fehlern behoben. Die bereits genannte Memory-Corruption-Lücke tritt bei der Verarbeitung von RSA-Schlüsseln auf und könnte von einem Netzwerkangreifer genutzt werden, um Schadcode auf dem System eines Anwenders auszuführen. Weiterhin wurde ein Fehler bei der Verwendung von Zufallszahlen gefunden. Unter Windows kann eine Help-Datei, die sich im selben Verzeichnis wie die Putty-Datei befindet, für Angriffe genutzt werden. Auf Unix-Systemen gibt es zudem einen Buffer Overflow bei Forwarding-Funktionen.

Auch Anwender, die Putty nicht direkt nutzen, sind möglicherweise betroffen, denn eine ganze Reihe von grafischen Frontends für SSH und das zugehörige Dateiübertragungsprotokoll SFTP setzen den Code von Putty ein. Filezilla hat eine neue Version 3.41.2 herausgebracht und darin die Lücke bei der RSA-Schlüsselverarbeitung behoben. Die anderen Lücken werden nicht erwähnt. In WinSCP wird laut Bugtracker daran gearbeitet, die Bugs im Git-Repository zu beheben, eine neue Version gibt es aber bislang nicht.

Wer Putty oder eines der anderen betroffenen Programme nutzt, sollte schnellstmöglich die aktuellste Version installieren und in nächster Zeit prüfen, ob weitere Sicherheitsupdates veröffentlicht werden.

Nachtrag vom 20. März 2019, 14:55 Uhr

WinSCP hat inzwischen mit der Version 5.13.9 ebenfalls ein Sicherheitsupdate veröffentlicht, in dem der PuTTY-Code aktualisiert wurde.

Zu den Kommentaren springen
Meistgelesen
  1. Die Siedler angespielt
    Kampf um Wuselhausen
  2. Raumfahrt
    Nasa untersucht möglicherweise erstes Verbrechen im Weltraum
  3. Apple
    Mitarbeiter hörten bis zu 1.000 Siri-Schnipsel am Tag
  4. Bundeswehr auf der Gamescom
    Und dann hebt der Kampfjet nicht mal ab
  5. Kickstarter
    Retrostone 2 ist ein Game Boy mit LC-Display und Ethernet
Anzeige
Spiele-Angebote
  1. (-25%) 44,99€
  2. 25,99€
  3. 4,99€
  4. 15,99€
Kommentarübersicht
Re: Nutzt das noch wer?
heikom36 23. Mär 2019

Wer auf Sicherheit Wert legt, der nutzt grundsätzlich keine Passwortmanager und erweitert...

Re: Unterstützt nur ed25519 Keys...
FreiGeistler 21. Mär 2019

Windows nutzt das noch! *motz* Glaubst du die haben den Source der Aufgabenplanung und...

Re: Krücke!
a user 20. Mär 2019

Für einen Behinderten mögen das Krücken sein, für einen Tänzer ein Instrument.

Dank an Julia Reda
mnementh 19. Mär 2019

Julia Reda hat maßgeblich das Projekt Fossa mit in die Wege geleitet. Das Projekt hilft...

Re: AES-NI in Putty...?
Mingfu 19. Mär 2019

Soll in diese neue Version 0.71 ebenfalls integriert sein. Auszug aus dem Changelog:

Folgen Sie uns
       
Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
Smartphone
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus
QR-Code
Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh

    Harmony OS
    Harmony OS: Die große Luftnummer von Huawei
    Harmony OS
    Die große Luftnummer von Huawei

    Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
    Ein IMHO von Sebastian Grüner

      1. Themen
      2. A
      3. B
      4. C
      5. D
      6. E
      7. F
      8. G
      9. H
      10. I
      11. J
      12. K
      13. L
      14. M
      15. N
      16. O
      17. P
      18. Q
      19. R
      20. S
      21. T
      22. U
      23. V
      24. W
      25. X
      26. Y
      27. Z
      28. #
       
       
        •  /