22:28
6/8/2013

Dziś, po prawie dwóch latach wyszła kolejna wersja popularnego klienta SSH, PuTTY (0.63). Jego autor, Simon Tatham zachęca do szybkiej aktualizacji, ponieważ zawiera ona łatki usuwające błędy bezpieczeństwa występujące w starszych wersjach PuTTy.

PuTTY 0.63

PuTTy

PuTTy


Wersja 0.63 PuTTy’ego usuwa przede wszystkim poważny błąd, który umożliwiał “złośliwemu” serwerowi SSH-2 spowodowanie crasha PuTTY poprzez przesłanie odpowiednio spreparowanego komunikatu. Co prawda nie ma żadnych dowodów na to, że złośliwy serwer SSH ma na skutek tego błędu możliwość przejęcia kontroli nad komputerem klienta, ale — jak pisze sam Simon — nie ma także 100% pewności, że nie da się tego zrobić.

Co gorsza, podatność w PuTTY może zostać wykorzystana przez złośliwy serwer przed rozpoczęciem procedury weryfikacji klucza, co oznacza, że błąd można wykorzystać nawet jeśli łączymy się do potencjalnie zaufanych serwerów SSH (oczywiście atakujący musi tu zespoofować serwer — ale na skutek błędu możemy nie zdążyć się dowiedzieć, że próbowaliśmy się połączyć do serwera, który przedstawia się złym kluczem).

Kolejną poprawką jest lepsze zarządzanie danymi klucza prywatnego, który jak się okazało po wykorzystaniu do uwierzytelnienia nie był usuwany z pamięci, co pozwalało innym procesom na jego odczyt po podpięciu się do pamięci PuTTY.

Pełną listę poprawek w najnowszej wersji znajdziecie tutaj. A PuTTY, jak zwykle do pobrania stąd.

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. Jej a myślałem, że się już nie rozwija….
    Ale i tak nic lepszego pod windowsa nie znalazłem

    • Ja używam MobaXterm. W pierwszej chwili trochę mnie odrzucił wygląd, ale ma m.in. serwer X ;)

    • Xshell – po dluzszej konfiguracji jest całkiem
      wygodny

    • KiTTY ma częśte update-y

    • cygwin + mosh polecam

    • A polecacie coś co pozwala mieć pare okienek SSH w jednym
      oknie lub na wzór tego:
      http://gallery2.dpcdn.pl/imgc/Tools/18494/g_-_-x-_-_s_18494x20100530103309.jpg
      ?

    • superputty, MTPuTTY

    • @Bronix – może mRemoteNG przypadnie Ci do gustu.

  2. Czy jest możliwe odczytanie pamięci innego procesu? Chodzi
    mi o winXP+ bo nie sądze że jest to możliwe pod innym
    systemem.

  3. Toż to tym się jeszcze ktoś zajmuje?

  4. Jeżeli masz złośliwe procesy które odczytują pamięć innych procesów to myślę, że to i tak już nic Ci nie pomoże…

    • ale możesz sie lepiej poczuć :D

  5. Nie zdebugowałem do końca nowego putty, ale wydaje mi się, że podczas próby połączenia z zaufanym serwerem część danych ląduje po dziwny, szyfrowanym protkole gdzieś za oceanem. Wnioskuje to po czasach inicjalizacji połączenia około 200ms. Jakiś backdoor chyba.

    • “Wnioskuje to po czasach inicjalizacji połączenia około 200ms.” – o_O ty tak serio?

    • W windbg tak wychodzi ;p

  6. KiTTy to drobne rozwinięcie oryginalnego PuTTY, tak samo jak i cała masa innych tego typu softów (np. Putty portable (nie ten z PortableApps)).
    Jesli chodzi o zakładki: SuperPuTTY.
    Pomysł wzięty z PuTTY CM (Connection Manager) który już daaawno nie był rozwijany, ten ciągle jest (ostatnia wersja jest z maja). Główne zalety: można mieć kilka dużych okienek zbiorczych w których jest odpalonych kilka instancji (oryginalnego, SuperPuTTy jest tylko tym kontenerem zbiorczym) PuTTY. Wnętrze okienek zbiorczych można dowolnie dzielić i zapełniać sesjami puciaka, po czym cały layout zapisać i dwuklikiem ładować. Oczywiście free. Reklamuje bo działa.

  7. Putty u mnie działa strasznie wolno podczas pisania komend. Znacie inny, lepszy program do ssh pod Ubuntu?

    • Może ssh?

    • moze serwer ma laga? :)

    • *facepalm* putty pod Linuksem? na serio? odpal ssh w terminalu jak człowiek (jakby nie było domyślnie to pakiet openssh-client)

    • KwPolska, nie wiem czy w terminalu utworzysz tunel SSH tak prosto jak w PuTTY

  8. Jak rany, moja ulubiona aplikacja. Mam nadzieje, ze latanie
    dziur nie jest zwiazane z wymogami NSA. ;)

  9. Powiem wam ludzie tak – PuTTY jest po prostu tylko
    namiastką napisaną pod jeden określony system i nigdy nie będzie
    oferował tego co oryginał, a który jest cały czas dostępny i wciąż
    się rozwija i jest poprawiany dosyć często. Ale do tego potrzeba po
    prostu mentalnie w swojej głowie dokonać małej rewolucji i porzucić
    ten zapluskwiony M$ – nie ma innej, rozsądnej w zakresie ssh (i nie
    tylko) docelowo rady.

    • Pomóż mi dokonać mentalnej rewolucji. Czego PuTTY nie
      oferuje, co oferuje oryginał?

  10. @Kwpolska > *facepalm* putty pod Linuksem? na serio?
    > odpal ssh w terminalu jak człowiek Coś się tak wzniecił?
    Ja np. używam putty pod Linuksem i będę używał. Bardzo wygodne bo
    mam poustawiane różne wielkości okien, kolory tła, czcionek, itp.
    Łatwe do przenoszenia, konfigi proste do edycji, także
    grupowej.

  11. A skad wiadomo, że to nie NOWA wersja PuTTY ma jakieś niefajne rzeczy?

  12. Bitvise SSH Client
    Extraputty

    Choć nie jestem w stanie nic mądrego powiedzieć na temat ich bezpieczeństwa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: