手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

PuTTY 0.72 发布,修复多个关键漏洞

[日期:2019-07-22] 来源:Linux公社  作者:醉落红尘 [字体: ]

PuTTY 0.72已经发布,PuTTY是一个免费的开源终端仿真器,串行控制台和网络文件传输应用程序。它支持多种网络协议,包括SCP,SSH,Telnet,rlogin和原始套接字连接。它还可以连接到串行端口。 “PuTTY”这个名字没有官方含义。

更改日志:

此版本中修复的漏洞包括:

- 恶意SSH-1服务器可能通过发送极短的RSA密钥或某些错误的数据包长度字段来触发缓冲区溢出。这些都可能在主机密钥验证之前发生,所以甚至

 如果您信任您打算*连接的服务器,您仍然会面临风险。

(但是,SSH-1协议已经过时,并且最新版本的PuTTY默认情况下不会尝试它,所以如果您使用旧服务器并且已经明确配置了SSH-1,那么您将面临风险。)

- 如果恶意进程发现了冒充Pageant的方法,那么它可能会导致访问恶意Pageant的任何SSH客户端工具(PuTTY,Plink,PSCP,PSFTP)中出现整数溢出。

其他与安全相关的错误修复包括:

- 在PuTTY 0.71中引入的'trust sigil'系统,以防止服务器欺骗攻击有多个错误。登录SSH-1和Rlogin协议后,信任签名未关闭,如果使用“重新启动会话”命令,则不会重新打开。两者现在都已修复。

其他bug修复包括:

- 在存在第三方Windows提供程序(如MIT Kerberos for Windows)的情况下,Kerberos密钥交换可能会在SSH会话开始时崩溃,如果服务器发送普通SSH主机密钥作为Kerberos交换的一部分,也可能会崩溃。

- 在SSH-2键盘交互式身份验证中,服务器发送的消息字段之一(即“指令”消息)意外地从未向用户显示。

- 使用SSH-2连接共享时,将文本粘贴到包含长度超过16Kb的行的下游PuTTY窗口中可能会导致该窗口的连接关闭。

- 在老式SCP模式下使用PSCP时,下载通配符指定的文件可能会导致将换行符添加到下载的文件名中。此外,使用-p选项保留文件时间失败,并显示虚假错误消息。

- 在Windows上,根据键盘布局生成“.”或“,”的数字小键盘按键始终生成“.”。

-  PuTTYgen生成的RSA密钥可能比请求的短1位。

下载

使用PuTTY远程链接Linux  https://www.linuxidc.com/Linux/2017-06/144403.htm

PuTTY最初是为Microsoft Windows编写的,但它已被移植到各种其他操作系统。官方端口可用于某些类似Unix的平台,具有经典Mac OS和macOS的正在进行的端口,非官方端口已经贡献给Symbian,Windows Mobile和Windows Phone等平台。

Logevent [CC0],来自Wikimedia Commons

PuTTY是由Simon Tatham编写并主要维护的.PuTTY支持安全远程终端的许多变体,并提供用户对SSH加密密钥和协议版本的控制,替代密码,如AES,3DES,Arcfour,Blowfish,DES和Public -key认证。 PuTTY通过GSSAPI支持SSO,包括用户提供的GSSAPI DLL。它还可以模拟来自xterm,VT220,VT102或ECMA-48终端仿真的控制序列,并允许使用SSH进行本地,远程或动态端口转发(包括X11转发)。网络通信层支持IPv6,SSH协议支持zlib@openssh.com延迟压缩方案。它也可以与本地串行端口连接一起使用。

PuTTY捆绑了命令行SCP和SFTP客户端,分别称为“pscp”和“psftp”,plink是一个命令行连接工具,用于非交互式会话。

PuTTY不直接支持会话选项卡,但可以使用许多包装器。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-07/159501.htm

linux
相关资讯       putty 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款