Sicherheitslücke in Putty, Filezilla und WinSCP
Wieder einmal wurde eine schwere Sicherheitslücke gemeldet, diesmal trifft es Putty. Der betroffene Code wird ebenfalls in Filezilla und WinSCP verwendet, weshalb man unbedingt alle 3 Programme aktualisieren sollte. Was und warum lest ihr in den folgenden Absätzen…
Sicherheitslücke in Putty, Filezilla und WinSCP
Im Bug-Bounty-Programm wurde kürzlich ein folgenschwerer Fehler in Putty gefunden. In Folge dessen stellte man recht schnell fest, dass der betroffene Code auch von beliebten und sehr weit verbreiteten Programmen Filezilla und WinSCP existiert. Damit sind auf einen Schlag 3 sehr wichtige Windows Programme angreifbar. Wie so oft reagierte die Open Source Community schnell und alle Programme gibt es aktuell bereits in einer neuen Version mit einem Bugfix. Als Benutzer ist man nun jedoch gefordert die Software auf dem eigenen Rechner zu aktualisieren. Das betrifft insbesondere diejenigen von euch, die eine automatische Aktualisierung (weil nervig) deaktiviert haben.
Das Problem
Die Details vom Problem sind folgende. Es gibt eine so genannte Memory-Corruption-Lücke bei der Verarbeitung von RSA-Schlüsseln. Dadurch ist es möglich Schadcode auf dem System eines Anwenders auszuführen. Neben diesem gravierenden Fehler gibt es noch ein Problem mit den Zufallszahlengenerator, über die Hilfe Datei von Putty könnte man am System schaden anrichten und unter Unix Systemen kommt es zu einem Buffer Overflow bei bestimmten Funktionen.
Es konnte schnell nachgewiesen werden, dass nicht nur Putty von solchen Problemen betroffen ist. Gemeinsam genutzter Code den andere SSH Frontends auch benutzen haben die selben Lücken. Damit sind die beliebten Programme Filezilla und WinSCP ebenfalls Einfalltore um das eigene System zu schädigen. Für alle drei gibt es aktuell neue Versionen.
Fazit
Die Sicherheitslücke in Putty, Filezilla und WinSCP wurde schnell behoben. Open Source Software unterliegt schnellen Produktzyklen und Fehler werden sehr schnell behoben. Leider ist die große Verbreitung von Open Source auch das Problem selbst, ist einmal ein Fehler entdeckt, müssen oft zahlreiche Programme neu erstellt werden.
Habt ihr bereits die neue sichere Version der Software installiert?
