PuTTY ออกเวอร์ชั่น 0.71 มาแล้วในวันนี้หลังมีการอัพเดตหลายอย่าง แต่จุดสำคัญคือการแก้ไขช่องโหว่ความปลอดภัยตามโครงการรายงานช่องโหว่แลกรางวัลของสหภาพยุโรป ตอนนี้โครงการก็เสร็จสิ้นและมีการแก้ไขตามรายงานแล้ว

ช่องโหว่ที่ร้ายแรงที่สุดคือช่องโหว่ vuln-dss-verify ที่เปิดทางให้แฮกเกอร์สามารถดักฟังการเชื่อมต่อได้ หาก PuTTY จำค่ากุญแจเซิร์ฟเวอร์แบบ DSA ไว้ล่วงหน้า หากเซิร์ฟเวอร์ใช้กุญแจแบบอื่น เช่น ECDSA หรือ Ed25519 จะไม่ได้รับผลกระทบ

Simon Tatham ผู้ดูแลโครงการ PuTTY ระบุว่าช่องโหว่นี้เกิดขึ้นระหว่างการปรับปรุงกระบวนการเข้ารหัสเพื่อป้องกันการโจมตี side-channel แต่เนื่องจากขอบเขตโครงการแจ้งช่องโหว่ได้รางวัลของ PuTTY นั้นรวมถึงเวอร์ชั่นพัฒนาอยู่ด้วย ช่องโหว่นี้จึงถูกตรวจพบก่อนการปล่อยเวอร์ชั่น 0.71

ผู้ใช้ที่ไม่ได้ดาวน์โหลดเวอร์ชั่นพัฒนาแต่ดาวน์โหลดเวอร์ชั่นเสถียรเช่น 0.70 ไม่ได้รับผลกระทบจากช่องโหว่ vuln-dss-verify แต่อาจได้รับผลกระทบจากเวอร์ชั่นอื่นที่ความร้ายแรงน้อยกว่า

โครงการรายงานช่องโหว่ของสหภาพยุโรปสำหรับ PuTTY ได้รับรายงานทั้งหมด 9 ช่องโหว่ที่ยังไม่เปิดเผย ช่องโหว่ส่วนใหญ่ไม่ร้ายแรง ได้รางวัลเพียงประมาณ 280 ดอลลาร์ ช่องโหว่ที่ร้ายแรงรองลงมาคือการวางไฟล์ help ไว้ในโฟลเดอร์ของ PuTTY ซึ่งหากติดตั้งด้วยไฟล์ติดตั้งปกติก็ไม่มีปัญหาอะไร ส่วนผู้ใช้ทั่วไปควรใช้เวอร์ชั่นเสถียรเสมอ เพราะผ่านการตรวจสอบระหว่างทางมาแล้ว

ที่มา - The Register