时隔两年，PuTTY 发布了一个新的安全修复版本

PuTTY 是 Windows 上使用最广泛的 SSH 客户端之一，它也有 Linux 版本。日前，得益于欧盟资助的 HackerOne 平台，PuTTY 发布了 0.71 版本，主要是修复了大量的安全缺陷。这个版本距其上个版本 0.70 的发布已近两年。

PuTTY 是一个自由开源且支持包括 SSH、Telnet 和 Rlogin 在内的多种协议的 GUI 客户端。

根据其变更日志，这个新版本的主要变更有：

• 由欧盟资助的漏洞赏金计划发现的漏洞的安全修复：
  • 在 RSA 密钥交换过程中可由远程触发内容覆写，它发生在主机密钥校验之前
  • 循环利用用于加密算法的随机数的潜在风险
  • 在 Windows 上，通过与可执行文件位于同一目录中的恶意帮助文件进行劫持
  • 在Unix上，任何类型的服务器到客户端转发过程中的可远程触发的缓冲区溢出
  • 可以通过写入终端触发的多个拒绝服务攻击
• 其它安全增强：重写加密代码以消除缓存和定时侧信道
• 用户界面更改以防止来自恶意服务器的虚假身份验证提示
• 首次提供了基于 ARM 的 Windows 版的预构建二进制
• 最常见的加密算法的硬件加速版本：AES、SHA-256、SHA-1
• GTK PuTTY 现在支持非 X11 显示（如 Wayland）和高分辨率配置
• 现在，只要打开PuTTY窗口，就可以使用预先输入：在身份验证完成之前键入的键击将被缓冲而不是被删除
• 支持 GSSAPI 密钥交换：这是旧版 GSSAPI 身份验证系统的替代方案，可以在长时间会话期间更新转发的 Kerberos 凭据
• 用于剪贴板处理的更多用户界面选择
• 新的终端功能：支持 REP 转义序列（修复 ncurses 屏幕重绘失败）、真彩色和 SGR 2 暗淡文本
• 按 Ctrl + Shift + PgUp 或 Ctrl + Shift + PgDn 现在可以直接到达终端回滚的顶部或底部

如果要下载使用 PuTTY，请从其官网下载，以避免使用了被恶意篡改的版本：

• Windows 32 位：putty-0.71-installer.msi
• Windows 64 位：putty-64bit-0.71-installer.msi
• Unix 源代码：putty-0.71.tar.gz

此外，也可以单独下载 putty 和 pscp 等的二进制执行文件：

• putty.exe（32 位、64 位）
• pscp.exe（32 位、64 位）

本文转载来自 Linux 中国: https://github.com/Linux-CN/archive