SSH-Software: Kritische Sicherheitslücken in Putty

In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.

Artikel veröffentlicht am , Hanno Böck
Zwei PCs mit einem SSH-Kanal sicher verbinden - das soll die Software Putty gewährleisten, doch jetzt wurden mehrere kritische Sicherheitslücken gefunden.
Zwei PCs mit einem SSH-Kanal sicher verbinden - das soll die Software Putty gewährleisten, doch jetzt wurden mehrere kritische Sicherheitslücken gefunden. (Bild: Putty)

Die Entwickler der freien Software Putty haben eine neue Version veröffentlicht, in der mehrere Sicherheitslücken behoben wurden. Der kritischste Bug ist eine Memory-Corruption-Lücke, die das Überschreiben von Speicher erlaubte. Diese konnte von einem bösartigen Server noch vor der Überprüfung der Serveridentität ausgelöst werden.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d)
    Staatliche Feuerwehrschule Geretsried, Geretsried bei München
  2. Senior Pega Entwickler (m/w/d) PCSSA, PCLSA
    DEVK Versicherungen, Köln
Detailsuche

Putty ist eine Implementierung des SSH-Protokolls. Vor allem unter Windows wird Putty häufig genutzt, es gibt aber auch eine Linux-Version. Das Fossa-Projekt der EU (Free and Open Source Software Auditing) finanziert seit einiger Zeit ein Bug-Bounty-Programm für Putty. Personen, die Sicherheitslücken in der Software finden und an das Projekt melden, können dafür Geldprämien erhalten.

Memory Corruption und Fehler bei der Verwendung von Zufallszahlen

Das hat wohl gut funktioniert: In der jetzt veröffentlichten Version 0.71 sind eine ganze Reihe von kritischen Fehlern behoben. Die bereits genannte Memory-Corruption-Lücke tritt bei der Verarbeitung von RSA-Schlüsseln auf und könnte von einem Netzwerkangreifer genutzt werden, um Schadcode auf dem System eines Anwenders auszuführen. Weiterhin wurde ein Fehler bei der Verwendung von Zufallszahlen gefunden. Unter Windows kann eine Help-Datei, die sich im selben Verzeichnis wie die Putty-Datei befindet, für Angriffe genutzt werden. Auf Unix-Systemen gibt es zudem einen Buffer Overflow bei Forwarding-Funktionen.

Auch Anwender, die Putty nicht direkt nutzen, sind möglicherweise betroffen, denn eine ganze Reihe von grafischen Frontends für SSH und das zugehörige Dateiübertragungsprotokoll SFTP setzen den Code von Putty ein. Filezilla hat eine neue Version 3.41.2 herausgebracht und darin die Lücke bei der RSA-Schlüsselverarbeitung behoben. Die anderen Lücken werden nicht erwähnt. In WinSCP wird laut Bugtracker daran gearbeitet, die Bugs im Git-Repository zu beheben, eine neue Version gibt es aber bislang nicht.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
Weitere IT-Trainings

Wer Putty oder eines der anderen betroffenen Programme nutzt, sollte schnellstmöglich die aktuellste Version installieren und in nächster Zeit prüfen, ob weitere Sicherheitsupdates veröffentlicht werden.

Nachtrag vom 20. März 2019, 14:55 Uhr

WinSCP hat inzwischen mit der Version 5.13.9 ebenfalls ein Sicherheitsupdate veröffentlicht, in dem der PuTTY-Code aktualisiert wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


heikom36 23. Mär 2019

Wer auf Sicherheit Wert legt, der nutzt grundsätzlich keine Passwortmanager und erweitert...

FreiGeistler 21. Mär 2019

Windows nutzt das noch! *motz* Glaubst du die haben den Source der Aufgabenplanung und...

a user 20. Mär 2019

Für einen Behinderten mögen das Krücken sein, für einen Tänzer ein Instrument.

mnementh 19. Mär 2019

Julia Reda hat maßgeblich das Projekt Fossa mit in die Wege geleitet. Das Projekt hilft...



Aktuell auf der Startseite von Golem.de
Apollon-Plattform
DE-CIX wagt umfassendstes Netzwerkupgrade seiner Geschichte

Das Upgrade zum Ausfiltern von Netzwerkrauschen erfolgte innerhalb nächtlicher Wartungsfenster bei laufendem Betrieb.

Apollon-Plattform: DE-CIX wagt umfassendstes Netzwerkupgrade seiner Geschichte
Artikel
  1. Ada Lovelace: Nvidia senkt Preise für Geforce RTX 4080 und RTX 4090
    Ada Lovelace
    Nvidia senkt Preise für Geforce RTX 4080 und RTX 4090

    Kurz vor dem Launch der AMD-Konkurrenz passt Nvidia die Preise der eigenen Grafikkarten an. Das liegt auch an einem stärkeren Euro.

  2. Autonomes Fahren: VW-Chef Blume streicht offenbar Audi-Projekt Artemis
    Autonomes Fahren
    VW-Chef Blume streicht offenbar Audi-Projekt Artemis

    Nicht nur das VW-Projekt Trinity, auch das geplante Audi-Vorzeigemodell Artemis fällt den Softwareproblemen des VW-Konzerns zum Opfer.

  3. Kids für Alexa im Test: Alexa, wer hat den Kindermodus verbockt?
    Kids für Alexa im Test
    Alexa, wer hat den Kindermodus verbockt?

    Amazon bietet neuerdings einen speziellen Kindermodus für Alexa an. Das soll Eltern in Sicherheit wiegen, die sollten sich aber besser nicht darauf verlassen.
    Ein Test von Ingo Pakalski

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Amazon Last Minute Angebote: Games & Zubehör, AVM-Router • Saturn-Weihnachts-Hits: Rabatt-Angebote aus allen Kategorien • Laptops bis zu 41% günstiger bei Saturn • PS5 Disc Edition inkl. GoW Ragnarök wieder vorbestellbar bei Amazon 619€ • ViewSonic 32" WQHD/144 Hz 229,90€ [Werbung]
    •  /