时隔两年,PuTTY 发布了一个新的安全修复版本

2019-03-21
2分钟阅读时长

PuTTY 是 Windows 上使用最广泛的 SSH 客户端之一,它也有 Linux 版本。日前,得益于欧盟资助的 HackerOne 平台,PuTTY 发布了 0.71 版本,主要是修复了大量的安全缺陷。这个版本距其上个版本 0.70 的发布已近两年。

PuTTY 是一个自由开源且支持包括 SSH、Telnet 和 Rlogin 在内的多种协议的 GUI 客户端。

根据其变更日志,这个新版本的主要变更有:

  • 由欧盟资助的漏洞赏金计划发现的漏洞的安全修复:
    • 在 RSA 密钥交换过程中可由远程触发内容覆写,它发生在主机密钥校验之前
    • 循环利用用于加密算法的随机数的潜在风险
    • 在 Windows 上,通过与可执行文件位于同一目录中的恶意帮助文件进行劫持
    • 在Unix上,任何类型的服务器到客户端转发过程中的可远程触发的缓冲区溢出
    • 可以通过写入终端触发的多个拒绝服务攻击
  • 其它安全增强:重写加密代码以消除缓存和定时侧信道
  • 用户界面更改以防止来自恶意服务器的虚假身份验证提示
  • 首次提供了基于 ARM 的 Windows 版的预构建二进制
  • 最常见的加密算法的硬件加速版本:AES、SHA-256、SHA-1
  • GTK PuTTY 现在支持非 X11 显示(如 Wayland)和高分辨率配置
  • 现在,只要打开PuTTY窗口,就可以使用预先输入:在身份验证完成之前键入的键击将被缓冲而不是被删除
  • 支持 GSSAPI 密钥交换:这是旧版 GSSAPI 身份验证系统的替代方案,可以在长时间会话期间更新转发的 Kerberos 凭据
  • 用于剪贴板处理的更多用户界面选择
  • 新的终端功能:支持 REP 转义序列(修复 ncurses 屏幕重绘失败)、真彩色和 SGR 2 暗淡文本
  • Ctrl + Shift + PgUpCtrl + Shift + PgDn 现在可以直接到达终端回滚的顶部或底部

如果要下载使用 PuTTY,请从其官网下载,以避免使用了被恶意篡改的版本:

此外,也可以单独下载 putty 和 pscp 等的二进制执行文件: