终端连接工具Xshell发布新版解决劫持问题
七月初维基解密发布的文档显示美国中央情报局针对终端连接工具 Xshell 开发后门程序用于窃取服务器凭证。 如果用户使用密钥作为验证那么密钥亦会被上传至后门服务器, 因此对于用户来说相对安全风险还是很高的。 同时美国中央情报局还开发了针对 Linux 的后门程序, 用于窃取使用 Linux 自带终端连接其他服务器的凭证。 发布新版解决SSH劫持问题: 目前 Xshell 已经发布新版本并称解决SSH连接时的安全问题, 这个问题是否指的是CIA的后门程序暂时未知。 Xshell的开发商称暂时没有发现有攻击者利用了漏洞窃取凭证, 但用户应该尽快更新至最新版本确保安全性。 目前官方发布的最新版本为Xshell 5 Build1326 版, 请还未更新至此版本的用户尽快前往软件官网下载新版。 PuTTY亦遭遇同样问题: 通常情况下每年只会更新1~ 2 次的开源终端连接工具 PuTTY 截止至目前已经发布多个测试版以及三个正式版。 在这些版本更迭日志中全部提到了Dll劫持问题的修复, 因此PuTTY的情况和Xshell基本上是没有什么区别的。 很多需要调用PuTTY进行连接的工具如Filezilla亦受安全影响,而其中的幕后黑手很可能就是美国中央情报局。 毕竟能够对全球两个非常知名的终端连接工具同时下手并不容易, 这可不是一般的黑客和攻击者能够做到的。 (编辑:ASP站长网) |