CVE-2024-31497

Versões do PuTTY de 0.68 a 0.80

Versões do FileZilla de 3.24.1 a 3.66.5

Versões do WinSCP de 5.9.5 a 6.3.2

Versões do TortoiseGit de 2.4.0.2 a 2.15.0

Versões do TortoiseSVN 1.10.0 a 1.14.6

O problema está relacionado à geração tendenciosa de nonces ECDSA no PuTTY, permitindo que um invasor recupere a chave secreta NIST P-521 de um usuário por meio de um ataque rápido em aproximadamente 60 assinaturas. Isso é especialmente importante em cenários em que um adversário pode ler mensagens assinadas pelo PuTTY ou Pageant, como quando as mensagens são armazenadas em um serviço Git público que suporta SSH para assinatura de commits. A vulnerabilidade pode ser explorada para comprometer chaves privadas, levando potencialmente ao acesso não autorizado a servidores e serviços. Em alguns casos, isso poderia possibilitar ataques à cadeia de suprimentos em software mantido no Git.

Para as versões 0.68 a 0.80 do PuTTY, atualize para a versão 0.81 ou posterior para corrigir o problema de segurança.

Para as versões 3.24.1 a 3.66.5 do FileZilla, atualize para a versão 3.67.0 ou posterior.

Para as versões 5.9.5 a 6.3.2 do WinSCP, atualize para a versão 6.3.3 ou posterior.

Para as versões 2.4.0.2 a 2.15.0 do TortoiseGit, atualize para a versão 2.15.0.1 ou posterior.

Para as versões 1.10.0 a 1.14.6 do TortoiseSVN, aplique a solução alternativa disponível ou aguarde um patch.