「PuTTY」に秘密鍵を窃取される危険のある脆弱性、鍵ペアおよび複数のソフトウェアに影響
2024年4月21日(日)
PuTTY Teamは4月15日(現地時間)、リモートログインクライアント「PuTTY」に存在する危険性の高い脆弱性について注意喚起を発表した。
この脆弱性は、PuTTYの署名処理に問題があり、悪用された場合、署名付きメッセージから秘密鍵を不正に窃取される危険がある(CVE-2024-31497)。この脆弱性は、PuTTYに関連する複数のソフトウェアにも影響するほか、鍵ペアにも影響する可能性がある。
この脆弱性は、楕円曲線P-521を使用する楕円曲線デジタル署名アルゴリズム(ECDSA)において、PuTTYの生成するnonce値に偏りがあることが原因で生じる。60程度の電子署名から秘密鍵を窃取できてしまう危険があり、ソフトウェアのアップデートだけでなく、NIST P521鍵ペアを利用している場合に鍵ペアの作り直しも必要となる。
脆弱性の影響を受けるのは「PuTTY 0.68~0.80」および、「FileZilla Client」「WinSCP」「TortoiseGit」「TortoiseSVN」など。脆弱性が修正されたソフトウェアは「PuTTY 0.81」「FileZilla Client 3.67.0」「WinSCP 6.3.3」「TortoiseGit 2.15.0.1」「TortoiseSVN 1.14.7」となっており、ユーザはアップデートが必要となるほか、NIST P521鍵ペアを利用している場合は鍵ペアの作り直しも必要となる。
(川原 龍人/びぎねっと)
[関連リンク]
アナウンス
その他のニュース
- 2024/12/9 軽量なLinuxディストリビューション「manjaro 24.2」リリース
- 2024/12/9 JavaScript/TypeScript対応Webフレームワーク「Astro 5.0」リリース
- 2024/12/8 openSUSE project、「openSUSE Leap micro 6.1」をリリース
- 2024/12/8 「GNOME 47.2」リリース
- 2024/12/6 Linuxカーネル「Linux 6.12」が長期サポート版に
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。