lunes, 12 de agosto de 2013

PuTTY 0.63 disponible

Estos días atrás se ha liberado la versión 0.63 de PuTTY (Port unique Terminal TYpe), el cliente Telnet/SSH por excelencia para conectarnos a diferentes dispositivos que admitan tal protocolo como routers o nuestros equipos NAS


La nueva versión trae principalmente la corrección de 4 vulnerabilidades detectadas y que permitían el acceso a claves almacenadas en memoria a través de un ataque Man-in-the-Middle. Los dichos fallos de seguridad corregidos son:

CVE-2013-4206: un error de falta de comprobación de límites en la función 'modmul',que realiza multiplicaciones modulares y se utiliza durante la validación de firmas DSA, podría provocar una corrupción de memoria. Ha sido descubierta por Mark Wooding.

CVE-2013-4207: un error al intentar dividir por cero en el cálculo del inverso modular entre dos números(los cuales deben ser primos entre sí para que exista) durante el procedimiento de validación de firmas DSA, provocaría un desbordamiento de memoria.

CVE-2013-4208: diversos errores al no eliminar de memoria datos sensibles como por ejemplo la pareja de números enteros 'p-1' y 'q-1' utilizados para una clave RSA, el componente 'x' de una clave privada DSA, o el número aleatorio 'k' generado al hacer una firma DSA, que podrían permitir la recuperación de dichas claves. La parte relacionada con claves RSA ha sido descubierta por Coverity Scan.

CVE-2013-4852: una falta de comprobación del valor del campo de longitud de cadenas en firmas con clave pública RSA en la función 'bignum_from_bytes' provocaría un desbordamiento de enteros. Este error no afecta a las claves DSA. Ha sido descubierto por Search-Lab.


Se recomienda la actualización especialmente si lo usas en entornos profesionales o conexiones remotas. Puedes descargarlo desde la web del desarrollador de la herramienta, Simon Tatham.

Fuente Hispasec.

0 comentarios:

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More