ニュース

リモートログオンクライアント「PuTTY」v0.74が公開 ~解放後メモリ利用の脆弱性を修正

セキュリティ強化のための新オプションも

「PuTTY」v0.74

 リモートログオンクライアント「PuTTY」の最新版v0.74が、6月27日に公開された。今回のアップデートにはセキュリティ修正が含まれており、「PuTTYrv」などの派生版でもアップデートが行われている。

 本バージョンでは、オファーされた公開鍵をSSHサーバーが受け入れたが署名を拒否したケースでそのキーがSSHエージェントからのものであった場合に、解放後メモリへアクセスしてしまう欠陥が修正された。いわゆる解放後メモリ利用(Use-after-free)と呼ばれる脆弱性で、サービス拒否(DoS)や任意コードの実行に悪用される可能性がある。

 また、セキュリティ対策として[Prefer algorithm for whitch a host key is known(既知のホスト鍵と同じアルゴリズムを優先する)]というオプションが新設された(既定で有効)。このオプションを無効化すると、ホスト鍵をクライアントが既に知っていることをサーバーから隠すことができる。

「PuTTY」の設定画面

 そのほかにも、ハイコントラストモードが有効なWindows環境でインストーラーのUIが判読不能になっていた問題や、Windows 7でコンソールパスワードの入力に失敗する問題などが解決されている。

ソフトウェア情報

「PuTTY」
【著作権者】
Simon Tatham氏
【対応OS】
(編集部にてWindows 10で動作確認)
【ソフト種別】
フリーソフト
【バージョン】
0.74(20/06/27)