偵測

openSUSE 安全性更新:putty (openSUSE-SU-2013:1355-1)

medium Nessus Plugin ID 75124

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

Putty 已更新至 0.63 版,提供了多個功能、錯誤和安全性修正。

變更:

- 新增 0001-Revert-the-default-for-font-bolding-style.patch (修正了 0.63 中引入之外觀變更的上游修補程式)

- 針對 pssh 套件 (平行 SSH) 新增衝突標籤,原因在於 /usr/bin 中存在衝突檔案

- 執行簽章驗證

- 0.63 的更新

- 安全性修正:防止惡意 SSH 伺服器或網路攻擊者以三種不同的方式,透過呈現惡意建構的公開金鑰與簽章於啟動時損毀 PuTTY。[bnc#833567] CVE-2013-4852

- 安全性修正:PuTTY 在驗證使用者金鑰後,不會再錯將其私密部分保留在記憶體中。

- 已修補內部組態儲存系統,可移除對於字串長度的所有已修正任意限制。特別是,現在不應再對轉送 PuTTY 可以儲存的連接埠數目有不合理的小限制。

- 在關閉另一方向之前關閉一個方向的轉送 TCP 連線,現在應獲得可靠的支援,以兩個方向獨立傳播 EOF。這也修正了轉送資料損毀的一些執行個體 (如果損毀包含來自連線結尾的遺漏資料) 以及在工作階段結束時無法關閉之 PuTTY 的一些執行個體 (因為其誤認為轉送通道仍在作用中,但實際上並沒有)。

- 終端模擬現在支援 xterm 的括號式貼上模式 (允許感知應用程式區別鍵入與貼上文字之間的差異,以使例如
編輯器等不需要套用不適當的自動縮排)。

- 您現在可以選擇透過反白前景色彩並變更字體來顯示粗體文字,而不是只能執行其中一項。

- PuTTYgen 在被要求 2048 位元金鑰時將不會再產生 2047 位元金鑰 (或一般而言是被要求 n 位元時產生 n-1 位元)。

- 預設設定的一些更新:PuTTYgen 現在預設會產生 2048 位元金鑰 (而非 1024),且 PuTTY 預設為 UTF-8 編碼及 2000 行的往回捲動 (而非 ISO 8859-1 編碼及 200 行)。

- Unix:PSCP 與 PSFTP 現在會保留兩個方向複製的 Unix 檔案權限。

- Unix:現在支援無作用的按鍵與撰寫字元序列。

- Unix:即使您正使用伺服器端 X11 字型而非 Pango 用戶端字型,PuTTY 與 pterm 現在也允許字型遞補 (不存在於您選取之字型中的字符會從系統上的其他字型自動填入)。

- 要列出的錯誤修正太多,大部分皆因透過 Coverity 掃描執行程式碼所導致,它發現了各式記憶體與資源洩漏、邏輯錯誤與各種環境下的損毀。

封裝變更:

- 從基本目錄執行 make

- 執行測試

- 移除 putty-01-werror.diff (目前不需要)

- 移除 putty-02-remove-gtk1.diff、putty-05-glib-deprecated.diff、putty-06-gtk2-indivhdr.diff (不再需要)

- 重新整理 putty-03-config.diff

- 移除 autoconf 呼叫與需求

- 封裝 HTML 文件

- 封裝授權檔案

解決方案

更新受影響的 putty 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=833567

https://lists.opensuse.org/opensuse-updates/2013-08/msg00041.html

Plugin 詳細資訊

嚴重性: Medium

ID: 75124

檔案名稱: openSUSE-2013-655.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.8

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:putty, p-cpe:/a:novell:opensuse:putty-debuginfo, p-cpe:/a:novell:opensuse:putty-debugsource, cpe:/o:novell:opensuse:12.3

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/8/12

參考資訊

CVE: CVE-2013-4852