Putty es el cliente telnet y SSH más utilizado para las comunicaciones a través de dichos protocolos. Putty es una implementación libre de dichos servicios con soporte tanto para Windows como para Unix desarrollado y mantenido principalmente por Simon Tatham.
Hace pocos días, Putty lanzaba una nueva actualización de su cliente, la versión 0.63 que, pese a ser una actualización menor, corrige 4 vulnerabilidades graves del cliente, de las cuales, 3 de ellas podían permitir a los usuarios de dicho cliente ser víctimas de ataques MITM (Man-In-The-Middle). La última vulnerabilidad detectada permitía la obtención y recuperación de las claves almacenadas en memoria.
Las vulnerabilidades han sido catalogadas con la siguiente numeración:
- CVE-2013-4206: un fallo de comprobación de límites en una función llamada «modmul» podría provocar errores de corrupción de memoria.
- CVE-2013-4207: un fallo al intentar dividir por cero un valor durante una función puede causar un desbordamiento de memoria.
- CVE-2013-4208: este fallo permite obtener de la memoria los datos sensibles para la recuperación de las claves de acceso al no borrar dichos datos de memoria.
- CVE-2013-4852: un fallo que puede provocar desbordamiento de memoria al no comprobar la longitud de la clave.
Esas 4 vulnerabilidades ya han sido solucionadas en la última actualización del cliente, que puede ser descargada desde la página web de Putty.
Desde RedesZone os recordamos la importancia de mantener los programas que utilicemos habitualmente siempre actualizados a su última versión, sobre todo, en entornos empresariales ya que, con ello, podremos evitar ser víctimas de robo de datos o ataques de red MITM como en el caso de los usuarios que utilicen versiones antiguas de Putty. Mantener el software de un sistema actualizado es esencial para evitar sufrir ataques informáticos y estar seguros.
¿Eres usuario de Putty? ¿Has actualizado ya a la versión 0.63 del cliente?