VRDA Feed by JPCERT/CC
  Vulnerability Response Decision Assistance Feed : 脆弱性脅威分析用情報の定型データ配信
[ about VRDA Feed | JPCERT/CC



 
分析対象脆弱性情報 (リビジョン番号 : 1) [ Download XML
JVNDB-2024-003103     ( CVE-2024-31497 )
PuTTY SSH クライアントの ECDSA 署名処理に脆弱性
https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-003103.html

原文

PuTTY SSH クライアント実装には、ECDSA 署名処理の実装に脆弱性があります。 NIST P521 楕円曲線による ECDSA 秘密鍵を使っている場合、署名を行う際に生成する nonce に偏りがあります (CVE-2024-31497、CWE-1240)。 その結果、ごく少数の署名データから秘密鍵を特定される可能性があります。

翻訳   (表示)





この情報について
分析情報提供元:
JVN iPedia
初版公開日:
2024-04-19
分析対象脆弱性情報の分類:
アドバイザリ・注意喚起
最終更新日:
2024-04-19




脆弱性の影響を受ける製品の識別子
cpe:/a:simon_tatham:putty
 


脆弱性の分析内容
[攻撃元区分]  [?]
未評価 [?]

ローカル [?]
隣接 [?]
ネットワーク [?]
[攻撃条件の複雑さ]  [?]
未評価 [?]

 [?]
 [?]
 [?]
[攻撃前の認証要否]  [?]
未評価 [?]

複数 [?]
単一 [?]
不要 [?]
[機密性への影響]  [?]
未評価 [?]

影響なし [?]
部分的 [?]
全面的 [?]
[完全性への影響]  [?]
未評価 [?]

影響なし [?]
部分的 [?]
全面的 [?]
[可用性への影響]  [?]
未評価 [?]

影響なし [?]
部分的 [?]
全面的 [?]
関連情報
Common Vulnerabilities and Exposures (CVE) CVE-2024-31497








参考情報
FileZilla [Revision 11142] Address PuTTY ECDSA NIST P521 private key recovery




JVN JVNVU#91264077




JVNDB CWE-1240 危険な実装による暗号プリミティブの使用




PuTTY PuTTY vulnerability vuln-p521-bias




TortoiseGit [Commit e9c1f3f4] Update PuTTY to 0.81




TortoiseSVN [Commit r29685] update to PuTTY 0.81




winscp Issue 2285 - NIST P521 private keys are exposed by biased signature generation




関連文書 oss-security mailing list (CVE-2024-31497: Secret Key Recovery of NIST P-521 Private Keys Through Biased ECDSA Nonces in PuTTY Client)




関連文書 RFC6979 (Deterministic Usage of the Digital Signature Algorithm (DSA) and Elliptic Curve Digital Signature Algorithm (ECDSA))




Copyright © 2024 JPCERT/CC All Rights Reserved.