FTP-Programme wegen PuTTY-Lücken aktualisiert

In der neuen PuTTY-Version 0.63 hat der Entwickler Simon Tatham vier Sicherheitslücken beseitigt, die in dem quelloffenen SSH-Client entdeckt wurden. Das letzte PuTTY-Update ist bereits über zwei Jahre her. Drei der Lücken könnten durch einen böswilligen SSH-Server ausgenutzt werden, um PuTTY zumindest zum Absturz zu bringen. Simon Tatham mag jedoch nicht ausschließen, dass es dabei auch möglich wäre Code einzuschleusen. Auch Man-in-the-Middle-Angriffe wären möglich. Die vierte Lücke betrifft das Vernichten nicht mehr benötigter privater Schlüssel. Ein SSH-Client sollte einen privaten Schlüssel, den er nicht mehr braucht, wieder aus dem Arbeitsspeicher löschen. PuTTY bis Version 0.62 versäumt dies und so könnte ein privater Schlüssel aus der Auslagerungsdatei rekonstruiert werden. Die neue PuTTY-Version 0.63 beseitigt zudem noch einige Bugs, die nicht sicherheitsrelevant sind. Wer denkt, er brauche PuTTY nicht, könnte sich täuschen. PuTTY steckt zum Beispiel auch in den FTP-Programmen WinSCP und FileZilla. Diese beherrschen nicht nur das klassische, unverschlüsselte File Transfer Protocol, sondern auch dessen verschlüsselte Geschwister, SFTP und SCP (Secure FTP und Secure Copy). Bei SFTP wird die FTP-Verbindung durch einen SSH-Tunnel geschickt, wofür die Programme PuTTY nutzen. FTP-Software wird zum Beispiel eingesetzt, um Dateien auf den eigenen Web-Server zu transferieren. Die Entwickler der Open-Source-Programme WinSCP und FileZilla haben bereits neue Versionen ihrer jeweiligen Software bereit gestellt, in denen PuTTY 0.63 enthalten ist. Die aktuelle WinSCP-Version ist 5.1.6, FileZilla ist seit gestern in der neuen Version 3.7.3 erhältlich. Mit KiTTY existiert zudem ein weiterer SSH-Client für Windows, der in der aktuellen Version 0.62.2.3 die gleichen Schwachstellen aufweisen dürfte wie PuTTY. KiTTY basiert auf dem Quelltext für PuTTY 0.62. Eine neue Version, die auf aktuellerem PuTTY-Code basieren soll, ist angekündigt, jedoch noch nicht verfügbar.