检测

openSUSE 安全更新:putty (openSUSE-SU-2013:1355-1)

medium Nessus 插件 ID 75124

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

Putty 已更新到 0.63,新增了功能,修复了缺陷和安全问题。

变更:

- 新增了 0001-Revert-the-default-for-font-bolding-style.patch(上游修补程序,修复了 0.63 中引入的外观变更)

- 由于 /usr/bin 中冲突的文件,对 pssh 程序包 (Parallel SSH) 添加 Conflict 标记

- 执行签名验证

- 更新到 0.63

- 安全补丁:防止 nefarious SSH 服务器或网络攻击者以三种不同的方式提供恶意构建的公钥和签名,造成 PuTTY 在启动时崩溃。[bnc#833567] CVE-2013-4852

- 安全补丁:在使用用户密钥进行认证后,PuTTY 不会再将用户密钥的私钥部分错误地保留在内存中。

- 修补了内部配置存储系统,以删除对字符串长度的所有固定任意限制。特别是,现在对 PuTTY 可以存储的端口转发数,应该不再限制在一个不合理的小范围内。

- 由于 EOF 现在可朝两个方向独立传播,因此对于转发的 TCP 连接,现在应该能够可靠地支持先关闭一个方向,再关闭另一个方向。这还修复了转发数据损坏的一些实例(如果损坏包括在连接的终点丢失数据),以及 PuTTY 在会话结束时不关闭(因为它错误地认为转发通道仍在运行中,实际上并未运行)的一些实例。

- 终端仿真现在支持 xterm 的加括号粘贴模式(允许支持的应用程序辨别键入的文本与粘贴的文本之间的差异,这样编辑就不需要进行不适当的自动缩进)。

- 您现在可以选择通过同时加亮前景颜色和更改字体来显示粗体文本,而不仅限于一种方式。

- 当要求 2048 位密钥时,PuTTYgen 现在绝不会生成 2047 位(一般情况下,要求 n 位时,生成的是 n-1 位)。

- 默认设置的部分更新:PuTTYgen 现在默认会生成 2048 位密钥(而不是 1024 位),PuTTY 默认采用 UTF-8 编码和 2000 行回滚(而不是 ISO 8859-1 和 200)。

- Unix:PSCP 和 PSFTP 现在会在两个方向的复制中保持 Unix 文件权限。

- Unix:现在支持死键和组合字符序列。

- Unix:PuTTY 和 pterm 现在允许字体回退(其中未以所选字体显示的字形会自动填入系统上的其他字体),即使您使用的是服务器端 X11 字体而不是 Pango 客户端字体。

- 缺陷补丁太多,无法全部列出,基本上源于通过 Coverity Scan 运行代码(发现了各种情况下的内存分类和资源泄漏、逻辑错误及崩溃)。

- 打包更改:

- 从基本目录运行 make

- 运行测试

- 删除了 putty-01-werror.diff(目前不需要)

- 删除了 putty-02-remove-gtk1.diff、putty-05-glib-deprecated.diff、putty-06-gtk2-indivhdr.diff(不再需要)

- 更新了 putty-03-config.diff

- 删除了 autoconf 调用和要求

- 程序包 HTML 文档

- 程序包 LICENCE 文件

解决方案

更新受影响的 putty 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=833567

https://lists.opensuse.org/opensuse-updates/2013-08/msg00041.html

插件详情

严重性: Medium

ID: 75124

文件名: openSUSE-2013-655.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:novell:opensuse:putty, p-cpe:/a:novell:opensuse:putty-debuginfo, p-cpe:/a:novell:opensuse:putty-debugsource, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2013/8/12

参考资料信息

CVE: CVE-2013-4852