목록2024/04/18 (2)
의미없는 블로그
[CVE-2024-31497] putty ssh 키 인증 취약점 (ecdsa-sha2-nistp521)
ssh 접속할때 쓰는 공개키/개인키 > ssh 서버에 공개키 등록해놓고 > 개인키로 접속하는거 공개키/개인키 생성하는 알고리즘 중에 ecdsa-sha2-nistp521 라고 있는데 공격자가 이 알고리즘으로 서명된 메시지랑 공개키를 어디서 훔쳐다가 많이 가지고 있을 경우 내 개인키를 유추할 수 있어서 내 공개키가 있는 모든 서버에 접근할 수 있다 라는데 이게 putty 버전이랑 뭔 상관이냐?? putty 가 ssh 인증할때 내 개인키를 가지고 서명을 생성하는데 그때 취약점이 발생한다고 함 아 원래 ssh 소프트웨어가 개인키로 암호 서명을 만드는거네 서버는 공개키로 서명의 진위 여부를 확인하는거고 근데 ssh 소프트웨어(putty)가 암호 서명 만들때 취약하게 만드나보네 그래서 공격자가 수십개의 암호 서명 ..
# 나/exploit CVE
2024. 4. 18. 16:09
전자금융거래법
보호되어 있는 글입니다.
# 나/tuesday Study
2024. 4. 18. 10:23