Citrixに入っているPuTTY

ほぼこもセキュリティニュース By Terilogy Worx

いろいろな製品がベースのOS環境で動作するものとして提供されています。
ベースOS上で動作するいろいろなツールが、その製品の動作の前提として必要とされるような形式で実装されており、そのおかげで少ないつくり込みで期待する機能を実現することができています。
この意味から、この構造はうまみが大きいものです。
しかし、多くの別々に管理されたソフトウェアがひとまとまりに存在する場合、それらのすべてが妥当な状態にあるときにしか安全でないという状態が生まれます。
そういう事例が確認されています。

  • PuTTYの脆弱性の修正
    PuTTYは広く使用されているSSHクライアントソフトウェアです。
    これの最新版は0.81というバージョンで、2024年4月15日にリリースされています。
    この0.81では、CVE-2024-31497への対策が提供されています。
    このCVE-2024-31497は、PuTTYで使用されている暗号の生成方式の関係で、過去の秘密鍵の生成の情報から生成される秘密鍵が推測できる可能性があるというものでした。

     

  • Citrix XenCenterのPuTTY
    Citrix XenCenterはXenServerやCitrix Hypervisorを管理できるツールです。
    このツールの配布物にはPuTTYが含まれていました。
    含まれていたPuTTYは0.81よりも前のものでした。
    それはそうです。
    PuTTYの0.81がリリースされたのは2024年4月15日ですので、それ以前にリリースされたXenCenterなどの別のソフトウェアに、まだリリースされていないものを含めることができるわけはありません。
    そして、0.81より前のPuTTYが含まれるXenCenterにおいて、ゲストVMを制御する攻撃者が、ゲストVMを使用するXenCenter管理者のSSH秘密キーを特定できる可能性があることがわかりました。
    この状態にあるのは、XenCenterの8.2.6までとなっています。

XenCenterの最新は2024.1.0というものとなっています。
XenCenterの8.2.7以降については、配布物にPuTTYは含まれなくなっています。
もし何らかの事情があってXenCenterの更新が難しい場合には、対処として、PuTTYの部分を更新することで暫定対応することが可能です。

PuTTYは小さなバイナリとなっていて使いやすいこともあり、なんらかの製品と一緒にバンドルされて配布されることもあります。
これはPuTTYに限ったことではありません。
いろいろな製品にはいろいろなツールが配布物に含まれている場合があります。
利用者の立場でもそうですが、開発者の立場でも、前提として利用するツールについて継続的に管理していく必要があるということになりますね。

参考記事(外部リンク):Citrix Hypervisor Security Update for CVE-2024-31497
support.citrix.com/article/CTX633416/citrix-hypervisor-security-update-for-cve202431497