PuTTY發布0.84版,修補可能導致拒絕服務攻擊的SSH金鑰交換與數位簽章驗證漏洞
來源: iThome | URL: https://www.ithome.com.tw/news/176148 | 日期: 2026-05-27
摘要
PuTTY 發布 0.84 版,修補 SSH 金鑰交換(RSA double-free DoS)、ECDSA 數位簽章驗證漏洞、Telnet/Rlogin 代理驗證問題,以及 CVE-2026-4115(ECDSA 中間人攻擊風險)。
修補的漏洞
| 類型 | 說明 | 風險 |
|---|---|---|
| RSA 金鑰交換 | 雙重釋放漏洞(double-free),惡意金鑰可導致記憶體結構被釋放兩次 | DoS |
| Telnet/Rlogin | 代理伺服器驗證後連線資料被加信任標記 | 伺服器偽造代理密碼提示 |
| ECDSA 簽章驗證 | 可遠端觸發的當機問題 | DoS |
| CVE-2026-4115 | 0.83 版 ECDSA 漏洞,本版完成修補 | 中間人攻擊 |
官方評估
維護者 Alan Coopersmith 指出這次修補的都是相對次要的安全性問題,但在部分情況下,仍可能增加遭中間人攻擊或阻斷服務攻擊利用的風險。
衍生頁面
- PuTTY 0.84修補SSH金鑰交換與ECDSA數位簽章驗證漏洞 — 漏洞修補事件