In der Version 0.64 des SSH-Clients Putty behebt der Entwickler Simon Tatham eine Sicherheitslücke, die bereits in der vorigen Version beseitigt werden sollte. Bei allen früheren Fassungen bewirkt der Fehler, dass der private Schlüssel im Arbeitsspeicher gehalten wird. Dadurch kann der Key etwa in einem Speicher-Dump oder einer Auslagerungsdatei abgelegt und dort ausgelesen werden. Die Version 0.63 aus dem Jahr 2013 sollte diesen Fehler bereits korrigieren. Dabei übersahen die Entwickler einen weiteren Ort, an dem der Schlüssel von dem Programm ebenfalls abgelegt wird.

Beim Diffie-Hellmann-Schlüsseltausch rüstet Putty 0.64 einen Range-Check nach, der für SSH-Verbindungen laut RFC 4253 generell vorgeschrieben wird. Nun überprüft das Programm, ob der beim Schlüsseltausch übermittelte Wert im Bereich [1,p-1] liegt.

Im weiteren ist die Funktion SSH-2 Connection-Sharing und die Option, "die von einem Host erwarteten Schlüssel im Voraus einzutragen" hinzugefügt worden. Schließlich wurden einige kleine Fehler behoben.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE