SSH-Software: Kritische Sicherheitslücken in Putty
In der SSH-Software Putty sind im Rahmen eines von der EU finanzierten Bug-Bounty-Programms mehrere schwerwiegende Sicherheitslücken entdeckt worden. Der verwundbare Code wird auch von anderen Projekten wie Filezilla und WinSCP verwendet.

Die Entwickler der freien Software Putty haben eine neue Version veröffentlicht, in der mehrere Sicherheitslücken behoben wurden. Der kritischste Bug ist eine Memory-Corruption-Lücke, die das Überschreiben von Speicher erlaubte. Diese konnte von einem bösartigen Server noch vor der Überprüfung der Serveridentität ausgelöst werden.
Putty ist eine Implementierung des SSH-Protokolls. Vor allem unter Windows wird Putty häufig genutzt, es gibt aber auch eine Linux-Version. Das Fossa-Projekt der EU (Free and Open Source Software Auditing) finanziert seit einiger Zeit ein Bug-Bounty-Programm für Putty. Personen, die Sicherheitslücken in der Software finden und an das Projekt melden, können dafür Geldprämien erhalten.
Memory Corruption und Fehler bei der Verwendung von Zufallszahlen
Das hat wohl gut funktioniert: In der jetzt veröffentlichten Version 0.71 sind eine ganze Reihe von kritischen Fehlern behoben. Die bereits genannte Memory-Corruption-Lücke tritt bei der Verarbeitung von RSA-Schlüsseln auf und könnte von einem Netzwerkangreifer genutzt werden, um Schadcode auf dem System eines Anwenders auszuführen. Weiterhin wurde ein Fehler bei der Verwendung von Zufallszahlen gefunden. Unter Windows kann eine Help-Datei, die sich im selben Verzeichnis wie die Putty-Datei befindet, für Angriffe genutzt werden. Auf Unix-Systemen gibt es zudem einen Buffer Overflow bei Forwarding-Funktionen.
Auch Anwender, die Putty nicht direkt nutzen, sind möglicherweise betroffen, denn eine ganze Reihe von grafischen Frontends für SSH und das zugehörige Dateiübertragungsprotokoll SFTP setzen den Code von Putty ein. Filezilla hat eine neue Version 3.41.2 herausgebracht und darin die Lücke bei der RSA-Schlüsselverarbeitung behoben. Die anderen Lücken werden nicht erwähnt. In WinSCP wird laut Bugtracker daran gearbeitet, die Bugs im Git-Repository zu beheben, eine neue Version gibt es aber bislang nicht.
Wer Putty oder eines der anderen betroffenen Programme nutzt, sollte schnellstmöglich die aktuellste Version installieren und in nächster Zeit prüfen, ob weitere Sicherheitsupdates veröffentlicht werden.
Nachtrag vom 20. März 2019, 14:55 Uhr
WinSCP hat inzwischen mit der Version 5.13.9 ebenfalls ein Sicherheitsupdate veröffentlicht, in dem der PuTTY-Code aktualisiert wurde.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Wer auf Sicherheit Wert legt, der nutzt grundsätzlich keine Passwortmanager und erweitert...
Windows nutzt das noch! *motz* Glaubst du die haben den Source der Aufgabenplanung und...
Für einen Behinderten mögen das Krücken sein, für einen Tänzer ein Instrument.
Julia Reda hat maßgeblich das Projekt Fossa mit in die Wege geleitet. Das Projekt hilft...
Soll in diese neue Version 0.71 ebenfalls integriert sein. Auszug aus dem Changelog: