Nowe błędy w putty
Wykryto dwa nowe błędy w popularnym kliencie SSH dla Windows, putty. Oba umożliwiają w pewnych sytuacjach przejęcie zdalnej kontroli nad komputerem.
Pierwszy problem dotyczy możliwości przepełnienia bufora poprzez funkcje fxp_readdir_recv, błędnie przetwarzającą komendę FXP_READDIR. Przejęcie kontroli jest możliwe za pomocą podstawionego serwera, do którego użytkownik próbowałby się podłączyć programem putty.
Drugi błąd występuje w funkcji ftp_pkt_getstring, źle odczytującej niektóre pola przesyłane przez serwer SFTP (SSH File Transfer Protocol). Jego wykorzystanie również może pociągnąć za sobą możliwość wykonania dowolnego kodu po stronie klienta.
Na błędy podatne są wszystkie wersje putty do 0.57. Poprawioną wersję można pobrać pod tym adresem.
Źródło informacji: CERT Polska