18 März 2019

Neue PuTTY-Version nach fast 2 Jahren

Der bei Windows-Administratoren beliebte Open-Source SSH-Client PuTTY ist am letzten Samstag in neuer Version erschienen. Dieses Update schliesst einige wichtige Sicherheitslücken. Die letzte Version von PuTTY erschien vor rund 20 Monaten.

Nutzer sollten dringend updaten

Die aktuell erschienene Version 0.71 wurde am vergangenen Samstag, dem 16. März 2019 zum Download freigegeben.

PuTTY ist als 32- und 64-bit MSI Installer Paket sowie als Source-Archiv verfügbar. Wie bei PuTTY üblich, kann man alle Komponenten des Paketes ebenfalls einzeln als Executable herunterladen.

Aufgrund der im Changelog genannten und geschlossenen Sicherheitslücken, können wir nur dringend empfehlen alle PuTTY-Clients zu aktualisieren.

Wie bei jeder sicherheitsrelevanten Software sollten die digitalen Fingerabdrücke, also Hashes, geprüft werden. Alternativ bietet das Autorenteam auch GPG-Signaturen zur Prüfung der Echtheit der Archive an. Ferner sollten Sie dieses Tool nicht aus dritten, unbekannten Quellen herunterladen. Insbesondere sicherheitsrelevante Open-Source-Software wird oftmals von ungeprüften, dritten Quellen genutzt, um veränderte und teilweise auch böswillige Software in Systeme einzuschleusen.

Auf der offiziellen Projekt-Homepage erhalten Sie weitere Informationen.

EU-Förderprogramm zur Sicherheit von Open-Source-Software

Mit dem Förderprogramm EU-FOSSA, bei dem die Europäische Kommission Belohnungen für eingereichte Bugs in einer Auswahl Open Source Software ausgelobt hat, wurde in der letzten Runde auch PuTTY bedacht. Für den Zeitraum vom 16. Januar 2019 bis zum 15. Dezember 2019 wurden für PuTTY insgesamt eine Belohnung von 90.000€ für eingereichte Sicherheitslücken ausgelobt.

Als ein Resultat aus diesem Programm schliessen die Autoren von PuTTY mit dem aktuellen Release fünf Sicherheitslücken, die bei EU-FOSSA eingereicht wurden:

  • Es kann vor Host-Key-Verifikation von Remote aus Speicher im RSA Schlüsselaustausch überschrieben werden
  • Mögliche Wiederverwendung von Zufallszahlen für die Verschlüsselung
  • Unter Windows kann ein Angreifer eine Hilfedatei manipulieren und so die Kontrolle über PuTTY erlangen
  • Unter Unixsystemen kann ein von Remote ausgelöster ein Speicherüberlauf ausgelöst werden
  • Verschiedene Denial-of-Service Angriffe durch Schreiben auf das Terminal

Mehr Infos zu dem Bug-Bounty-Programm gibt es hier.

Weitere Bugfixes durch das Autorenteam

Neben den durch die EU-FOSSA gemeldeten Bugs schliesst das Team weitere Fehler und bringt Verbesserungen im Bereich der Sicherheit und der Bedienung.

Insgesamt darf man durch das EU-Programm erwarten, dass im Laufe des Jahres 2019 weitere Fixes kommen werden, nachdem es um die Weiterentwicklung von PuTTY ruhiger geworden war.

PuTTY steckt in vielen Programmen

Auch sollte nicht vergessen werden, dass PuTTY als Open-Source-Software durchaus in anderen Produkten direkt oder indirekt mitverwendet wird. So gibt es für PuTTY z.B. den Multi-PuTTY-Manager, der eine bestehende PuTTY-Installation nutzt. Auch hier sollte nicht vergessen werden, die PuTTY-Installation zu aktualisieren, um die Sicherheitslücken zu schliessen. Gleiches gilt natürlich auch für AutoPutty und Ähnliche.

Ebenfalls wichtig ist Software, die PuTTY oder Teile davon fest oder für den User unsichtbar integriert. Als ein Beispiel sei hier WinSCP genannt, das zumindest den PuTTY-Paket-Bestandteil PageAnt nutzt. Hier muss ggf. auf ein neues Release der Software gewartet werden.

Die Autoren von PuTTY pflegen eine Liste von Software, in der PuTTY enthalten ist.

Kategorien: Aktuelles
Tags: PuTTY Sicherheit Updates

PD

über den Autor

Peter Dreuw

Teamleiter

zur Person

Peter Dreuw arbeitet seit 2016 für die credativ GmbH und ist seit 2017 Teamleiter. Im Rahmen von Kundenaufträgen hat er unter anderem einen Adapter für den Icinga-Director zu Microsoft Azure entwickelt, der als Open-Source-Software verfügbar ist. Ferner beschäftigt er sich intensiv mit Softwarearchitektur und der Kombination von zentralen Komponenten durch Messaging-Systeme. Er ist Linux-Nutzer der ersten Stunden und betreibt Linux-Systeme seit Kernel 0.97.

Beiträge ansehen


Beitrag teilen: