PuTTY 0.84修補SSH金鑰交換與ECDSA數位簽章驗證漏洞
概述
PuTTY 發布 0.84 版,修補 SSH 金鑰交換(RSA double-free DoS)、ECDSA 數位簽章驗證漏洞、Telnet/Rlogin 代理驗證問題,以及 CVE-2026-4115(ECDSA 中間人攻擊風險)。建議用戶儘速升級。
修補的漏洞
| 類型 | 說明 | 風險 |
|---|---|---|
| RSA 金鑰交換 | 雙重釋放漏洞(double-free) | DoS |
| Telnet/Rlogin | 代理伺服器驗證後連線資料加信任標記 | 伺服器偽造代理密碼提示 |
| ECDSA 簽章驗證 | 可遠端觸發當機 | DoS |
| CVE-2026-4115 | 0.83 版 ECDSA 漏洞,本版完成修補 | 中間人攻擊 |
官方評估
維護者 Alan Coopersmith 指出修補的都是相對次要的安全性問題,但在部分情況下仍可能增加遭中間人攻擊或 DoS 利用的風險。