时隔两年,PuTTY 发布了一个新的安全修复版本
PuTTY 是 Windows 上使用最广泛的 SSH 客户端之一,它也有 Linux 版本。日前,得益于欧盟资助的 HackerOne 平台,PuTTY 发布了 0.71 版本,主要是修复了大量的安全缺陷。这个版本距其上个版本 0.70 的发布已近两年。
PuTTY 是一个自由开源且支持包括 SSH、Telnet 和 Rlogin 在内的多种协议的 GUI 客户端。
根据其变更日志,这个新版本的主要变更有:
- 由欧盟资助的漏洞赏金计划发现的漏洞的安全修复:
- 在 RSA 密钥交换过程中可由远程触发内容覆写,它发生在主机密钥校验之前
- 循环利用用于加密算法的随机数的潜在风险
- 在 Windows 上,通过与可执行文件位于同一目录中的恶意帮助文件进行劫持
- 在Unix上,任何类型的服务器到客户端转发过程中的可远程触发的缓冲区溢出
- 可以通过写入终端触发的多个拒绝服务攻击
- 其它安全增强:重写加密代码以消除缓存和定时侧信道
- 用户界面更改以防止来自恶意服务器的虚假身份验证提示
- 首次提供了基于 ARM 的 Windows 版的预构建二进制
- 最常见的加密算法的硬件加速版本:AES、SHA-256、SHA-1
- GTK PuTTY 现在支持非 X11 显示(如 Wayland)和高分辨率配置
- 现在,只要打开PuTTY窗口,就可以使用预先输入:在身份验证完成之前键入的键击将被缓冲而不是被删除
- 支持 GSSAPI 密钥交换:这是旧版 GSSAPI 身份验证系统的替代方案,可以在长时间会话期间更新转发的 Kerberos 凭据
- 用于剪贴板处理的更多用户界面选择
- 新的终端功能:支持 REP 转义序列(修复 ncurses 屏幕重绘失败)、真彩色和 SGR 2 暗淡文本
- 按
Ctrl + Shift + PgUp
或Ctrl + Shift + PgDn
现在可以直接到达终端回滚的顶部或底部
如果要下载使用 PuTTY,请从其官网下载,以避免使用了被恶意篡改的版本:
- Windows 32 位:putty-0.71-installer.msi
- Windows 64 位:putty-64bit-0.71-installer.msi
- Unix 源代码:putty-0.71.tar.gz
此外,也可以单独下载 putty 和 pscp 等的二进制执行文件: