De opensourcebibliotheek libssh2 heeft twee ernstige kwetsbaarheden in alle versies van deze software voor beveiligde verbindingen. Aanvallers kunnen hiermee malware installeren of systemen platleggen. Patches staan op GitHub, maar moeten nog in releases verwerkt worden.
Libssh2 is een bibliotheek voor ssh-verbindingen en zit standaard geïntegreerd in vele applicaties, tools, programmeersoftware en besturingssystemen. De ene kwetsbaarheid (CVE-2026-55200) in deze veelgebruikte clientsoftware is een geheugenfout waarlangs aanvallers via te grote ssh-packets eigen code kunnen uitvoeren op kwetsbare systemen. Deze kwetsbaarheid krijgt dan ook het cijfer 9,2 in kwetsbaarhedenclassificatie CVSS 4.0.
De andere kwetsbaarheid in libssh2 (CVE-2026-55199) zit in de authenticatie tussen clientsystemen en servers, waarbij de server het verbindende systeem kan platleggen met een denial-of-serviceaanval. Deze kwetsbaarheid krijgt het cijfer 8,2 in CVSS 4.0. Voor zover bekend zijn er nog geen aanvallen die deze twee ernstige kwetsbaarheden uitbuiten.
De fixes voor de twee kwetsbaarheden zijn via commits op GitHub opgenomen in de hoofdtak van de software, schrijft Heise.de. Deze wijzigingen aan de code van libssh2 kwamen eind april en twee weken geleden uit. De twee commits zijn echter nog niet verwerkt in een nieuwe release van de bibliotheek zelf. Op de officiële site is de kwetsbare versie 1.11.1 uit oktober 2024 de recentste release.
Verder moeten veel Linux-aanbieders een gefixte versie van libssh2 nog opnemen in hun distributies. De op beveiliging gerichte Linux-distributie Kali heeft sinds 20 mei al libssh2-versie 1.11.1-3. Deze derde subrelease bevat mogelijk de patches voor de twee kwetsbaarheden. Debian Linux test die nieuwe versie van libssh2 sinds 18 mei.
Source: Tweakers.net