PuTTY 0.84 resuelve fallos de seguridad que permitían un ataque de denegación de servicio contra el cliente SSH

  • 26 May 2026 12:29 AM

El proyecto PuTTY ha lanzado la versión 0.84 de su popular cliente SSH y Telnet, una actualización de mantenimiento que prioriza la corrección de vulnerabilidades de seguridad y la mejora de la estabilidad en entornos modernos. Disponible desde el 22 de mayo de 2026, esta versión soluciona dos fallos que podían ser explotados por un servidor malicioso para provocar una caída del cliente durante el inicio de la conexión, además de incluir nuevas funcionalidades como ejecución de comandos previos a la conexión y una mejor integración con Wayland en equipos de cómputo con sistemas Unix.

El equipo de desarrollo de PuTTY, liderado por Simon Tatham, ha publicado la versión 0.84 de su conocido cliente SSH, una de las herramientas de conexión remota más utilizadas en entornos Windows y Unix.

Este lanzamiento llega meses después de la versión 0.83 y se centra en corregir problemas de seguridad detectados, mejorar la experiencia en sistemas modernos y añadir pequeñas pero útiles funcionalidades para administradores de sistemas y usuarios avanzados.

Dos vulnerabilidades de denegación de servicio corregidas

La versión 0.84 soluciona dos fallos de seguridad que afectaban a versiones anteriores de PuTTY.

Ambas vulnerabilidades podían ser explotadas por un servidor malicioso o un atacante en medio (MITM) durante el proceso de inicio de la conexión SSH.

  • CVE-2026-48852 - Fallo de aserción en verificación de firma ECDSA:

    Un error en la función ecc_weierstrass_add asumía incorrectamente que un valor matemático (lambda_n) nunca sería cero. En escenarios legítimos de criptografía de curvas elípticas, este valor sí puede ser cero, lo que provocaba una aserción fallida y el posterior cierre del cliente . Este fallo ha sido corregido eliminando la aserción problemática, permitiendo que PuTTY maneje correctamente todas las combinaciones válidas de puntos en la curva elíptica.

  • Doble liberación de memoria (Double Free) en inicio de conexión:

    Adicionalmente, se corrigió un error de doble liberación de memoria que también podía ser activado por un servidor malicioso durante el intercambio inicial de claves SSH, provocando un cierre inesperado del cliente.

Ambos fallos tienen el mismo impacto práctico: un atacante con capacidad para controlar un servidor o interceptar el tráfico de red podría provocar que PuTTY se cerrara inesperadamente, impidiendo la conexión del usuario.

Es importante señalar que no se ha reportado que estas vulnerabilidades permitan la ejecución remota de código o el robo de credenciales, limitándose a una denegación de servicio.

Una mejora en la seguridad de conexiones a través de proxy

La versión 0.84 también corrige un problema de seguridad relacionado con conexiones a través de proxies que requieren autenticación, específicamente cuando se utilizan protocolos no cifrados como Telnet.

  • El problema:

    Anteriormente, al conectarse a través de un proxy que solicitaba una contraseña, todo el tráfico de la conexión Telnet se marcaba accidentalmente con un "distintivo de confianza" (trust sigil). Este distintivo es utilizado por PuTTY para distinguir los mensajes del propio programa de los mensajes enviados por el servidor remoto.

  • La corrección:

    Con la versión 0.84, este comportamiento ha sido corregido. Ahora, el distintivo de confianza no se aplica al tráfico de protocolos inseguros como Telnet, evitando que un servidor malicioso pudiera hacerse pasar por el proxy y engañar al usuario para que introdujera sus credenciales de proxy. Este parche reduce la superficie de ataque en configuraciones de red heredadas o complejas.

Nuevas funcionalidades para administradores y usuarios avanzados

Ejecución de comandos previos a la conexión (Port Knocking)

Una de las novedades más destacadas de PuTTY 0.84 es la capacidad de ejecutar un comando especificado por el usuario antes de que se establezca la conexión de red principal.

  • Aplicación práctica:

    Esta función está diseñada principalmente para implementar "port knocking" (llamada a puertos), una técnica de seguridad utilizada para ocultar servicios SSH detrás de un firewall. El sistema funciona mediante una secuencia de intentos de conexión a puertos específicos en un orden determinado; solo cuando se realiza la secuencia correcta, el firewall abre temporalmente el puerto SSH.

Con esta nueva opción, los administradores pueden automatizar completamente la secuencia de port knocking desde el propio PuTTY, sin necesidad de scripts externos o herramientas adicionales.

El comando se ejecuta localmente antes de que PuTTY intente conectar al servidor, permitiendo "golpear" los puertos necesarios y luego establecer la conexión SSH de forma transparente para el usuario.

Soporte mejorado para escritorios Wayland en sistemas Unix

Los usuarios de distribuciones Linux que utilizan el entorno gráfico Wayland recibirán una experiencia más fluida con PuTTY 0.84.

Mejoras específicas:

  • Selección automática de fuente:
    Anteriormente, cuando la fuente X11 fixed no estaba disponible en sistemas Wayland, PuTTY mostraba un mensaje de error. Ahora, el programa selecciona automáticamente una fuente predeterminada adecuada, evitando interrupciones.
  • Corrección de cierre en pterm:
    Se ha solucionado un error que provocaba que pterm (la versión de terminal de PuTTY para sistemas Unix) se cerrara inesperadamente al intentar registrar información en utmp (el archivo que registra los usuarios conectados al sistema).

Estas mejoras son particularmente relevantes dado que Wayland se está convirtiendo en el estándar predeterminado en las principales distribuciones Linux, incluyendo Fedora y Ubuntu.

Visualización de pre-edición de texto en Unix

Para facilitar la entrada de caracteres Unicode complejos (como caracteres acentuados o símbolos de idiomas asiáticos), PuTTY 0.84 en sistemas Unix ahora admite la visualización de "pre-edit text".

  • Funcionamiento:

    Mientras el usuario escribe una secuencia de teclas que genera un solo carácter Unicode (por ejemplo, acento + vocal para producir una vocal acentuada), el terminal muestra el progreso de la escritura en tiempo real, mejorando la retroalimentación visual y la precisión de la entrada. Esta función es estándar en entornos de escritorio modernos y su integración en PuTTY la acerca a la experiencia de uso de terminales nativos.

Disponibilidad y cómo actualizar

PuTTY 0.84 ya está disponible para su descarga gratuita en todas las plataformas soportadas a través del sitio web oficial del proyecto.

Plataformas soportadas:

  • Windows: Binarios ejecutables (32 y 64 bits) e instalador MSI
  • Unix/Linux: Código fuente para compilación, además de paquetes para las principales distribuciones
  • macOS: Versión en desarrollo, con soporte básico funcional

El código fuente de PuTTY se distribuye bajo la licencia MIT, lo que permite su uso, modificación y redistribución tanto en entornos personales como comerciales.

Recomendaciones de actualización:

Para los administradores de sistemas, se recomienda actualizar a la versión 0.84 para mitigar las vulnerabilidades de denegación de servicio mencionadas.

Los usuarios que implementan técnicas de seguridad como port knocking encontrarán particularmente útil la nueva función de comandos previos a la conexión.

Para usuarios de Linux en entornos Wayland, la actualización resuelve problemas de estabilidad y usabilidad que afectaban a versiones anteriores.