Software-update: WinSCP 6.3.3

WinSCP logo (79 pix) Versie 6.3.3 van WinSCP is verschenen. Met dit opensourceprogramma kunnen op een veilige manier bestanden tussen twee computers worden gekopieerd. Het programma ondersteunt ftp, secure ftp en het oudere scp-protocol. WinSCP is niet alleen als een opzichzelfstaand programma beschikbaar, maar ook als plug-in voor de programma's FAR en Altap Salamander. Hieronder is de changelog voor deze uitgave te vinden.

Changes in version 6.3.3:
  • SSH core and SSH private key tools (PuTTYgen and Pageant) upgraded to PuTTY 0.81. It brings the following change:
    • Security fix for CVE-2024-31497: NIST P521/ecdsa-sha2-nistp521 signatures are no longer generated with biased values of k. The previous bias compromises private keys. 2285 vuln-p521-bias
  • Translation update: Belarusian.
  • XML parser upgraded to Expat 2.6.2.
  • Support for TortoiseMerge in Compare Files extension. 2279
  • Bug fix: File panel does not have focus after Login in Explorer interface. 2276
  • Bug fix: Failure when closing the last remote tab. 2283
  • Bug fix: Copy and paste to another application in Store installation sometimes does not work. 2284

WinSCP

Versienummer 6.3.3
Releasestatus Final
Besturingssystemen Windows 7, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016, Windows Server 2019, Windows 11
Website WinSCP
Download https://winscp.net/download/WinSCP-6.3.3-Setup.exe
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 16-04-2024 21:306

16-04-2024 • 21:30

6 Linkedin Whatsapp

Bron: WinSCP

Update-historie

16-04 WinSCP 6.3.3 6
12-03 WinSCP 6.3.2 4
22-02 WinSCP 6.3.1 7
14-02 WinSCP 6.3 2
19-09 WinSCP 6.1.2 1
06-'23 WinSCP 6.1.1 0
05-'23 WinSCP 6.1 1
04-'23 WinSCP 5.21.8 0
01-'23 WinSCP 5.21.7 0
11-'22 WinSCP 5.21.6 7
Meer historie

Lees meer

WinSCP

geen prijs bekend

4.5 van 5 sterren
Overige software

Reacties (6)

-Moderatie-faq
6
6
3
0
0
2
Wijzig sortering
Jean luc Picard
16 april 2024 23:36
Ik snap niet dat onderstaande hier dan niet even mee wordt gelinkt.

nieuws: Kwetsbaarheid in PuTTY maakt het mogelijk om sommige private keys te ...
Reageer
CH4OS
@Jean luc Picard17 april 2024 01:28
Omdat het niet zo'n heel groot issue is:
SSH access staat meestal niet open en bloot (vereist meestal al een VPN verbinding of staat naar buiten toe al helemaal niet open). En je hebt daarbij ook nog eens zo'n 60 public keys nodig voordat je de private key naar alle waarschijnlijkheid kan herleiden. Het is sowieso al ongebruikelijk om meerdere public keys op 1 private key te maken, die ook nog eens met ECDSA NIST P-521 bit encryptie gemaakt moeten zijn...

Begrijp me niet verkeerd, security is heel belangrijk tegenwoordig. En ja, dit is zeker wel een dingetje, maar maak het alsjeblieft ook niet groter dan dat het is. Meestal worden immers RSA 2048 of 4096 bit keys gegenereerd, waarin de vulnerability niet zit. Genereer daarnaast altijd een key pair op de host, zodat je enkel de public key hoeft in te stellen op de client.
Door de kwetsbaarheid, die wordt gevolgd onder CVE-2024-31497, kunnen aanvallers de NIST P-521-keys van gebruikers verkrijgen. Dat kan door de code waarmee de PuTTY-client 'signatures' genereert via het Ecdsa. Die code bevat een bias waardoor gegenereerde handtekeningen gebruikt kunnen worden om de achterliggende private key te achterhalen. Aanvallers zijn daartoe in staat als ze ongeveer zestig van dergelijke signatures in handen hebben. Ze hebben daarvoor wel toegang nodig tot de handtekeningen van het slachtoffer, bijvoorbeeld door een SSH-server die het slachtoffer gebruikt tijdelijk over te nemen.
En als ze dan toch al op de (SSH) server zitten, heb je een groter probleem.

[Reactie gewijzigd door CH4OS op 17 april 2024 01:39]

Reageer
[Yellow]
@CH4OS17 april 2024 09:40
SSH staat meestal niet open? Euh, daar zou je best eens flink mis kunnen zitten: https://www.shodan.io/search?query=ssh
En dit betreft alleen de SSH servers die op well-known ports draaien (en dat probeer je zo vaak mogelijk te voorkomen)

Je hebt wel een punt dat het alleen NIST P-521 keys betreft dus het wordt niet heel vaak gebruikt.
Maar die private keys zijn dan wel weer binnen 60 pogingen te ontdekken via de publieke sleutel.
Het is sowieso al ongebruikelijk om meerdere public keys op 1 private key te maken
Dat hoort juist niet eens te kunnen! Die 60 keys die genoemd worden zijn het aantal pogingen dat nodig is, niet het aantal publieke keys dat past op 1 private key
Reageer
CH4OS
@[Yellow]17 april 2024 11:34
Niet zomaar open voor de buitenwereld, mag ik hopen althans.

Ah, ik dacht dus dat het om verschillende keys ging! Dank voor de verduidelijking!
Reageer
Jerie
@Jean luc Picard17 april 2024 10:14
Het staat als eerst genoemd in de changelog:
SSH core and SSH private key tools (PuTTYgen and Pageant) upgraded to PuTTY 0.81. It brings the following change:

Security fix for CVE-2024-31497: NIST P521/ecdsa-sha2-nistp521 signatures are no longer generated with biased values of k. The previous bias compromises private keys. 2285 vuln-p521-bias
Reageer
Z80
@Jean luc Picard17 april 2024 14:38
En filezilla kan ook in het rijtje. Deze gebruikt ook putty op de achtergrond.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee