Merhaba! Bugün, PuTTY Secure Shell ve Telnet istemcisinin kritik bir güvenlik açığı hakkında konuşacağız. Bu açık, NIST P-521 (ecdsa-sha2-nistp521) özel anahtarlarının tamamen kurtarılmasını sağlayabilecek şekilde etkili olan 0.68 ila 0.80 sürümlerini etkiliyor. Bu açık için CVE tanımlayıcısı da zaten verilmiş: CVE-2024-31497.
Araştırmacılar Fabian Bäumer ve Marcus Brinkmann’ın yaptığı keşif sayesinde ortaya çıkan bu güvenlik açığının önemli bir etkisi var: özel anahtarların tehlikeye atılması. Saldırganlar, özel anahtarları ele geçirerek size aitmiş gibi imzaları taklit edebilir ve böylece sizin adınıza giriş yapabilirler. Ancak bunun için önce saldırganın kimlik doğrulaması için kullanılan sunucunun güvenliğini aşması gerekiyor.
Bu kusurun özünde, önyargılı ECDSA neslinden kaynaklanan kriptografik nonce’ların olduğunu belirtiliyor. Bäumer’a göre, bu durum, özel anahtarın kurtarılmasına imkan tanıyabilir. Örneğin, saldırganlar imzaları kötü niyetli bir sunucudan veya başka bir kaynaktan toplayarak özel anahtarı ele geçirebilirler.
PuTTY’nin yanı sıra, FileZilla, WinSCP, TortoiseGit ve TortoiseSVN gibi diğer yazılımları da etkileyen bu güvenlik açığı için bir yama geliştirildi. En son sürümlere güncellenerek bu açığı kapatabilirsiniz. Özellikle, TortoiseSVN kullanıcılarına ise bir yama mevcut olana kadar SSH aracılığıyla en son PuTTY sürümündeki Plink’i kullanmaları öneriliyor.
Sonuç olarak, bu güvenlik açığı nedeniyle ECDSA NIST-P521 anahtarlarınızın tehlikeye atılmış olabileceğini unutmayın. Bu anahtarları yetkili_anahtarlar dosyasından ve diğer SSH sunucularından kaldırarak iptal etmeniz önemlidir. Güvenlik her zamankinden daha önemli olduğu için bu konuya dikkat etmeniz önemli. Güvende kalın!
Yaygın Olarak Kullanılan PuTTY SSH İstemcisi Anahtar Kurtarma Saldırısına Karşı Savunmasız Bulundu
•
Advertisement
Son Gönderiler
- Pegasus, İstanbul’dan Bratislava’ya Direkt Uçuş Başlattı – Arabian Aerospace
- Siber Suçlular, Fidye Yazılımı Saldırılarında Microsoft’un Hızlı Yardım Özelliğinden Yararlanıyor
- ASUS ROG Ally X Ortalığı Kasıp Kavurmaya Geliyor: RAM ve Pil Kapasitesi Ortaya Çıktı!
- Dışişleri Bakanı Ankara’da Kanadalı mevkidaşını ağırlıyor – Hurriyet Daily News
- CyberCorp
- Palo Alto Networks ve IBM Ortak Olarak Yapay Zeka Destekli Güvenlik Teklifleri Sağlayacak
- Android 15, Kullanıcıları Dolandırıcılıklardan ve Kötü Amaçlı Uygulamalardan Korumak için Gelişmiş Özellikler Sunuyor
- Gift
- Mourinho Şaşırtıcı Bir Yöneticilik Rolüne Geri Dönüyor, Ancak Bir Kıskançlık ile – Dünya Futbol Konuşuyor