Sintesi
Rilevata una vulnerabilità in PuTTY, noto client open source per la gestione remota (SSH, Telnet e rlogin) di sistemi informatici.
Tale vulnerabilità, dovuta ad un’errata implementazione del protocollo ECDSA (NIST P-521), comporta la generazione di chiavi di cifratura asimmetrica non conformi allo standard. Ne consegue che quanto cifrato con tali chiavi potrebbe essere analizzato – tramite tecniche di attacco sofisticate – per ricostruire la secret key.
Note (aggiornamento del 13/05/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-31497 risulta disponibile in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (70,12/100)1. (aggiornato al 13/05/2024)
Tipologia
- Information Disclosure
Prodotti e versioni affette
- PuTTY, dalla versione 0.68 alla versione 0.80
Di seguito una lista non esaustiva di prodotti correlati vulnerabili:
- FileZilla, dalla versione 3.24.1 alla versione 3.66.5
- WinSCP, dalla versione 5.9.5 alla versione 6.3.2
- TortoiseGit, dalla versione 2.4.0.2 alla versione 2.15.0
- TortoiseSVN, dalla versione 1.10.0 alla versione 1.14.6
Azioni di mitigazione
Si raccomanda di aggiornare tempestivamente i software vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.
Si evidenzia inoltre che tutte le coppie di chiavi ECDSA – NIST P-521 generate tramite le versioni del software vulnerabili sono da considerarsi compromesse. Si raccomanda di sostituire tali chiavi con nuove coppie generate con le versioni aggiornate dei prodotti vulnerabili.
Identificatori univoci vulnerabilità
Riferimenti
https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html
https://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/vuln-p521-bias.html
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
