PT-2021-4019 · Putty+1 · Putty+1
Fabian Baeumer
+2
·
Publicado
2021-06-19
·
Atualizado
2024-07-03
·
CVE-2021-36367
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do PuTTY até a 0.75
Descrição
O problema está relacionado à verificação insuficiente dos dados de autenticação na implementação do protocolo SSH no PuTTY. Isso pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Especificamente, o PuTTY prossegue com o estabelecimento de uma sessão SSH mesmo que nunca tenha recebido uma resposta de autenticação válida, facilitando que um servidor SSH controlado pelo invasor apresente posteriormente um prompt de autenticação falsificado. Isso pode ser usado para capturar dados de credenciais para fins indesejados pelo usuário cliente.
Recomendações
Para versões do PuTTY até a 0.75, atualize para uma versão que corrija este problema para impedir o acesso não autorizado.
Como solução temporária, considere desativar o uso de sessões SSH até que um patch esteja disponível.
Restrinja o acesso a informações confidenciais e credenciais ao usar o PuTTY para minimizar o risco de exploração.
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Putty