VDB

CVE-2024-31497

CVE-2024-31497 PUBLISHED CVSS 10 CRITICAL

Es existiert eine Schwachstelle in PuTTY und Anwendungen, die PuTTY nutzen, wie z.B. FileZilla, WinSCP und TortoiseGit. Bei der Berechnung von 521-bit ECDSA Signaturen (z.B. ecdsa-sha2-nistp521) wird ein schwacher NONCE verwendet. Ein Angreifer kann bei Kenntnis ausreichend vieler mit einem Schlüssel angefertigten Signaturen den verwendeten privaten Schlüssel rekonstruieren. Derartige Signaturen können z.B. öffentliche Commit-Signaturen in Git-Systemen sein. Die Entwickler weisen darauf hin, dass ECDSA Verfahren mit anderen Schlüssellängen und insbesondere "Ed25519" nicht betroffen sind. Nutzern wird empfohlen, betroffene Schlüssel nicht mehr zu verwenden und insbesondere die SSH Berechtigung für diese Schlüssel zu entziehen (aus der "authorized_keys" Datei entfernen).

EPSS 23.27% · 96.0th percentile

Risk Scores

CVSS v3.1
10
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
EPSS Score
23.27%
96.0th percentile

Affected Products

VendorProductVersions
FedoraFedora Linux
Citrix SystemsCitrix Systems XenServer
Citrix SystemsCitrix Systems Hypervisor
PuTTYPuTTY client 0.68 - 0.80
DebianDebian Linux
WinSCPWinSCP 5.9.5 - 6.3.2
FileZillaFileZilla Client 3.24.1 - 3.66.5
TortoiseGitTortoiseGit 2.4.0.2 - 2.15.0.0
TortoiseSVNTortoiseSVN 1.10.0 - 1.14.6
GentooGentoo Linux

Timeline

  • Apr 15, 2024 CVE Published
  • Apr 16, 2024 EPSS Score
  • Oct 4, 2024 Coalition ESS Score
  • Mar 17, 2025 EPSS Score
  • Mar 19, 2025 EPSS Score
  • Mar 20, 2025 EPSS Score
  • Mar 27, 2025 EPSS Score
  • Mar 27, 2025 Coalition ESS Score
  • Mar 28, 2025 EPSS Score
  • Mar 29, 2025 EPSS Score
  • Mar 30, 2025 EPSS Score
  • Apr 15, 2025 EPSS Score

References

Open in Interactive Console →
$ Console Community · 100/wk Open console ›