Linux中國

時隔兩年,PuTTY 發布了一個新的安全修復版本

PuTTY 是 Windows 上使用最廣泛的 SSH 客戶端之一,它也有 Linux 版本。日前,得益於歐盟資助的 HackerOne 平台,PuTTY 發布了 0.71 版本,主要是修復了大量的安全缺陷。這個版本距其上個版本 0.70 的發布已近兩年。

PuTTY 是一個自由開源且支持包括 SSH、Telnet 和 Rlogin 在內的多種協議的 GUI 客戶端。

根據其變更日誌,這個新版本的主要變更有:

  • 由歐盟資助的漏洞賞金計劃發現的漏洞的安全修復:
    • 在 RSA 密鑰交換過程中可由遠程觸發內容覆寫,它發生在主機密鑰校驗之前
    • 循環利用用於加密演算法的隨機數的潛在風險
    • 在 Windows 上,通過與可執行文件位於同一目錄中的惡意幫助文件進行劫持
    • 在Unix上,任何類型的伺服器到客戶端轉發過程中的可遠程觸發的緩衝區溢出
    • 可以通過寫入終端觸發的多個拒絕服務攻擊
  • 其它安全增強:重寫加密代碼以消除緩存和定時側信道
  • 用戶界面更改以防止來自惡意伺服器的虛假身份驗證提示
  • 首次提供了基於 ARM 的 Windows 版的預構建二進位
  • 最常見的加密演算法的硬體加速版本:AES、SHA-256、SHA-1
  • GTK PuTTY 現在支持非 X11 顯示(如 Wayland)和高解析度配置
  • 現在,只要打開PuTTY窗口,就可以使用預先輸入:在身份驗證完成之前鍵入的鍵擊將被緩衝而不是被刪除
  • 支持 GSSAPI 密鑰交換:這是舊版 GSSAPI 身份驗證系統的替代方案,可以在長時間會話期間更新轉發的 Kerberos 憑據
  • 用於剪貼板處理的更多用戶界面選擇
  • 新的終端功能:支持 REP 轉義序列(修復 ncurses 屏幕重繪失敗)、真彩色和 SGR 2 暗淡文本
  • Ctrl + Shift + PgUpCtrl + Shift + PgDn 現在可以直接到達終端回滾的頂部或底部

如果要下載使用 PuTTY,請從其官網下載,以避免使用了被惡意篡改的版本:

此外,也可以單獨下載 putty 和 pscp 等的二進位執行文件:


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國