PuTTY發布0.84版,修補可能導致拒絕服務攻擊的SSH金鑰交換與數位簽章驗證漏洞

來源: iThome | URL: https://www.ithome.com.tw/news/176148 | 日期: 2026-05-27

摘要

PuTTY 發布 0.84 版,修補 SSH 金鑰交換(RSA double-free DoS)、ECDSA 數位簽章驗證漏洞、Telnet/Rlogin 代理驗證問題,以及 CVE-2026-4115(ECDSA 中間人攻擊風險)。

修補的漏洞

類型說明風險
RSA 金鑰交換雙重釋放漏洞(double-free),惡意金鑰可導致記憶體結構被釋放兩次DoS
Telnet/Rlogin代理伺服器驗證後連線資料被加信任標記伺服器偽造代理密碼提示
ECDSA 簽章驗證可遠端觸發的當機問題DoS
CVE-2026-41150.83 版 ECDSA 漏洞,本版完成修補中間人攻擊

官方評估

維護者 Alan Coopersmith 指出這次修補的都是相對次要的安全性問題,但在部分情況下,仍可能增加遭中間人攻擊或阻斷服務攻擊利用的風險。

衍生頁面