PuTTY jiddiy xavfsizlik muammolarini hal qiladi
PuTTY 0.71 ning yangi versiyasi bir qator xavfli zaifliklarni tuzatadi.
SSH mijozi PuTTY bir nechta zaifliklarni tuzatuvchi xavfsizlik yangilanishlarini oldi. PuTTY 0.71 quyidagi muammolarni hal qiladi: Xost kalitini tekshirishdan oldin RSA kalit almashinuvi paytida xotirani qayta yozishga imkon beruvchi zaiflik;
Shifrlashda ishlatiladigan tasodifiy sonlardan qayta foydalanish;
Windowsda: mijozni bajariladigan fayl bilan bir xil katalogdagi yordam fayli yordamida buzib kirishga imkon beruvchi zaiflik;
Unixda: serverdan mijozga ma’lumotlarni uzatish paytida buferning toshib ketishiga qarshi zaiflik;
Terminalga yozish orqali foydalanish mumkin bo’lgan xizmat zaifliklarining bir nechta rad etilishi.
Barcha zaifliklar HackerOne dasturi orqali oshkor qilindi. PuTTY ning yetakchi ishlab chiqaruvchisi Saymon Tatham The Register nashriga bergan intervyusida eng xavfli zaiflik vuln-dss-verify bo’lganini aytdi, bu esa o’rtadagi odam hujumiga xostning SSH kalit tizimini butunlay chetlab o’tish imkonini berdi.
«Yaxshiyamki, zaiflik PuTTY ning yakuniy versiyasiga kiritilmadi. U yon kanal xavfsizligini ta’minlash uchun shifrlashni qayta yozish paytida joriy qilingan va bir hafta o’tgach, yakuniy nashrdan oldin xatolarni aniqlash ishtirokchisi tomonidan aniqlangan», dedi Tatem.
Yana bir zaiflik shundaki, PuTTY mijozi RSA kalit almashinuvi paytida minimal kalit uzunligini talab qilmagan, bu esa butun sonning toshib ketishiga olib kelishi mumkin edi.
Uchinchi jiddiy zaiflik tajovuzkorga PuTTY ildiz katalogiga zararli yordam faylini joylashtirish imkonini berdi. Muammo standart Windows .msi o’rnatuvchisi foydalanuvchilariga ta’sir qilmadi.
