Обновление SSH-клиента PuTTY 0.67 с устранением уязвимости
Представлен релиз популярного SSH-клиента для Unix и Windows — PuTTY 0.67, исходные тексты которого доступны под лицензией MIT. В новом выпуске устранена уязвимость (CVE-2016–2563) в реализации протокола PSCP (старый протокол SCP), которая может привести к выполнению кода на системе клиента при попытке загрузки файла с сервера, подконтрольного злоумышленнику. Уязвимость проявляется на стадии после проверки ключа хоста. В качестве обходного пути защиты можно использовать опцию »-sftp» при которой используется только протокол SFTP.
Кроме устранения уязвимости в новой версии устранено несколько проблем, приводящих к краху, на платформе Windows выполнена более аккуратная установка ACL для защиты процесса от чтения другими процессами данных из памяти, для заверения цифровой подписью исполняемых файлов для Windows задействован Authenticode.
© OpenNet
