• IT-Karriere:
  • Services:

SSH-Software: Kritische Sicherheitslücken in Putty

In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.

Artikel veröffentlicht am , Hanno Böck
Zwei PCs mit einem SSH-Kanal sicher verbinden - das soll die Software Putty gewährleisten, doch jetzt wurden mehrere kritische Sicherheitslücken gefunden.
Zwei PCs mit einem SSH-Kanal sicher verbinden - das soll die Software Putty gewährleisten, doch jetzt wurden mehrere kritische Sicherheitslücken gefunden. (Bild: Putty)

Die Entwickler der freien Software Putty haben eine neue Version veröffentlicht, in der mehrere Sicherheitslücken behoben wurden. Der kritischste Bug ist eine Memory-Corruption-Lücke, die das Überschreiben von Speicher erlaubte. Diese konnte von einem bösartigen Server noch vor der Überprüfung der Serveridentität ausgelöst werden.

Stellenmarkt
  1. Hays AG, Berlin
  2. Bürgerschaft der Freien und Hansestadt Hamburg, Hamburg

Putty ist eine Implementierung des SSH-Protokolls. Vor allem unter Windows wird Putty häufig genutzt, es gibt aber auch eine Linux-Version. Das Fossa-Projekt der EU (Free and Open Source Software Auditing) finanziert seit einiger Zeit ein Bug-Bounty-Programm für Putty. Personen, die Sicherheitslücken in der Software finden und an das Projekt melden, können dafür Geldprämien erhalten.

Memory Corruption und Fehler bei der Verwendung von Zufallszahlen

Das hat wohl gut funktioniert: In der jetzt veröffentlichten Version 0.71 sind eine ganze Reihe von kritischen Fehlern behoben. Die bereits genannte Memory-Corruption-Lücke tritt bei der Verarbeitung von RSA-Schlüsseln auf und könnte von einem Netzwerkangreifer genutzt werden, um Schadcode auf dem System eines Anwenders auszuführen. Weiterhin wurde ein Fehler bei der Verwendung von Zufallszahlen gefunden. Unter Windows kann eine Help-Datei, die sich im selben Verzeichnis wie die Putty-Datei befindet, für Angriffe genutzt werden. Auf Unix-Systemen gibt es zudem einen Buffer Overflow bei Forwarding-Funktionen.

Auch Anwender, die Putty nicht direkt nutzen, sind möglicherweise betroffen, denn eine ganze Reihe von grafischen Frontends für SSH und das zugehörige Dateiübertragungsprotokoll SFTP setzen den Code von Putty ein. Filezilla hat eine neue Version 3.41.2 herausgebracht und darin die Lücke bei der RSA-Schlüsselverarbeitung behoben. Die anderen Lücken werden nicht erwähnt. In WinSCP wird laut Bugtracker daran gearbeitet, die Bugs im Git-Repository zu beheben, eine neue Version gibt es aber bislang nicht.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Wer Putty oder eines der anderen betroffenen Programme nutzt, sollte schnellstmöglich die aktuellste Version installieren und in nächster Zeit prüfen, ob weitere Sicherheitsupdates veröffentlicht werden.

Nachtrag vom 20. März 2019, 14:55 Uhr

WinSCP hat inzwischen mit der Version 5.13.9 ebenfalls ein Sicherheitsupdate veröffentlicht, in dem der PuTTY-Code aktualisiert wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)
  2. (u. a. PS5 + HD Kamera für 549,99€)

heikom36 23. Mär 2019

Wer auf Sicherheit Wert legt, der nutzt grundsätzlich keine Passwortmanager und erweitert...

FreiGeistler 21. Mär 2019

Windows nutzt das noch! *motz* Glaubst du die haben den Source der Aufgabenplanung und...

a user 20. Mär 2019

Für einen Behinderten mögen das Krücken sein, für einen Tänzer ein Instrument.

mnementh 19. Mär 2019

Julia Reda hat maßgeblich das Projekt Fossa mit in die Wege geleitet. Das Projekt hilft...

Mingfu 19. Mär 2019

Soll in diese neue Version 0.71 ebenfalls integriert sein. Auszug aus dem Changelog:


Folgen Sie uns
       


Samsung QLED 8K Q800T - Test

Samsungs preisgünstiger 8K-Fernseher hat eine tolle Auflösung, schneidet aber insgesamt nicht so gut ab.

Samsung QLED 8K Q800T - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /