「PuTTY」に秘密鍵を窃取される危険のある脆弱性、鍵ペアおよび複数のソフトウェアに影響

PuTTY Teamは4月15日(現地時間)、リモートログインクライアント「PuTTY」に存在する危険性の高い脆弱性について注意喚起を発表した。

この脆弱性は、PuTTYの署名処理に問題があり、悪用された場合、署名付きメッセージから秘密鍵を不正に窃取される危険がある(CVE-2024-31497)。この脆弱性は、PuTTYに関連する複数のソフトウェアにも影響するほか、鍵ペアにも影響する可能性がある。

この脆弱性は、楕円曲線P-521を使用する楕円曲線デジタル署名アルゴリズム(ECDSA)において、PuTTYの生成するnonce値に偏りがあることが原因で生じる。60程度の電子署名から秘密鍵を窃取できてしまう危険があり、ソフトウェアのアップデートだけでなく、NIST P521鍵ペアを利用している場合に鍵ペアの作り直しも必要となる。

脆弱性の影響を受けるのは「PuTTY 0.68～0.80」および、「FileZilla Client」「WinSCP」「TortoiseGit」「TortoiseSVN」など。脆弱性が修正されたソフトウェアは「PuTTY 0.81」「FileZilla Client 3.67.0」「WinSCP 6.3.3」「TortoiseGit 2.15.0.1」「TortoiseSVN 1.14.7」となっており、ユーザはアップデートが必要となるほか、NIST P521鍵ペアを利用している場合は鍵ペアの作り直しも必要となる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス