Рекомендация Debian по безопасности

DLA-173-1 putty -- обновление безопасности LTS

Дата сообщения:
15.03.2015
Затронутые пакеты:
putty
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 779488.
В каталоге Mitre CVE: CVE-2015-2157.
Более подробная информация:

MATTA-2015-002

Флорен Даигни обнаружил, что PuTTY не устанавливает принудительно допустимый ряд серверных значений по протоколу Диффи-Хеллмана, как то требуется по RFC 4253, что в случае слабого сервера потенциально позволяет создать подслушиваемые соединения.

#779488, CVE-2015-2157

Патрик Коулман обнаружил, что PuTTY не очищает информацию о закрытом ключе SSH-2 из памяти при загрузке и сохранении файлов ключей, что может приводить к раскрытию закрытого ключа.

В Debian 6 Squeeze эти проблемы были исправлены в putty версии 0.60+2010-02-20-1+squeeze3