PuTTY が重大なセキュリティホールを修正しバージョンアップ
SSH クライアントの PuTTY がほぼ1年ぶりにバージョンアップされています。いくつかのバグフィックスの他、重大なセキュリティホールの修正も含まれるようです。以下拙訳(ホントに拙いです。すんません)。2004-08-03 SECURITY HOLE, fixed in PuTTY 0.55
PuTTY 0.55, released today, fixes a serious security hole which may allow a server to execute code of its choice on a PuTTY client connecting to it. In SSH2, the attack can be performed before host key verification, meaning that even if you trust the server you think you are connecting to, a different machine could be impersonating it and could launch the attack before you could tell the difference. We recommend everybody upgrade to 0.55 as soon as possible.
2004-08-03 PuTTY 0.55 におけるセキュリティホール修正
PuTTY 0.55 が本日付でリリースされました。あるサーバがそれに接続している PuTTY クライアント上で任意のコードを実行できるという重大なセキュリティホールが修正されています。SSH2 において、この攻撃はホストキーが認証される前に行われます。つまり、あなたが接続しているつもりの信頼できるサーバに他のマシンがなりすまし、あなたがその違いに気が付く前に攻撃を受ける可能性があるという事です。出来る限り早急に 0.55 にアップグレードする事を推奨します。クライアント上でコードが実行可能、という点がちょっと不思議なので詳細が知りたかったのですが、8/4 11:15 時点では Web 上に他の情報は発見できませんでした。Change Log によれば Core Security Technologies という企業によって発見されたそうです(アドバイザリナンバ:CORE-2004-0705)。識者による解説希望。