Kwetsbaarheden in libssh2 tot en met versie 1.11.1 raken twee onderdelen van de SSH‑afhandeling. Ze zijn upstream verholpen, maar vereisen updates in distributies en applicaties die libssh2 inlinken.

Wat is er aan de hand

• Pre‑auth DoS via SSH_MSG_EXT_INFO: tijdens de key‑exchange kan een kwaadwillende SSH‑server een buitensporig aantal “extensions” melden. Door een ontbrekende foutafhandeling blijft de client dan in een CPU‑intensieve lus hangen. Dit is opgelost in commit 1762685. (nvd.nist.gov)
• Out‑of‑bounds write in ssh2_transport_read(): door onvoldoende controle op de variabele packet_length kan een aanvaller met speciaal geconstrueerde SSH‑pakketten geheugenbeschadiging veroorzaken. In het slechtste geval leidt dat tot remote code execution; dit is opgelost in commit 97acf3d. (nvd.nist.gov)

Waarom dit telt

• libssh2 is een clientbibliotheek die in talloze tools en producten wordt gebruikt. Denk aan software die via SFTP/SCP bestanden haalt of uploadt, of aan ontwikkeltools die via SSH praten. Zo kan libgit2 (en dus tools die daarop bouwen) met libssh2 worden gecompileerd. libcurl gebruikte lang libssh2 voor SCP/SFTP, al stappen sommige distributies over op libssh. (github.com)
• De EXT_INFO‑boodschap komt uit RFC 8308 (SSH extension negotiation). Dat verklaart waarom één verkeerde waarde in die fase al roet in het eten kan gooien. (rfc-editor.org)
• De kans op daadwerkelijke code‑uitvoering bij de geheugenfout hangt mede af van mitigaties zoals Address Space Layout Randomization (ASLR). Op moderne Linux‑distributies staat ASLR doorgaans aan. (documentation.ubuntu.com)

Wie loopt risico

• Applicaties die libssh2 gebruiken en verbinding maken met niet‑vertrouwde of mogelijk gecompromitteerde SSH‑servers.
• CI/CD‑agents, synchronisatie‑ en bestandsuitwisselsoftware, embedded/IoT‑oplossingen en GUI‑tools die onder water SFTP/SCP doen.

Stand van zaken per 23 juni 2026

• De fixes staan upstream als losse commits; 1.11.1 (16 oktober 2024) is nog de laatste officiële release. Distributies backporten patches of bouwen nieuwe pakketten uit de upstream‑fixes. (libssh2.org)
• Diverse security‑trackers en nieuwsmedia noemen de kwetsbaarheden expliciet (CVE‑2026‑55199 voor de EXT_INFO‑DoS en CVE‑2026‑55200 voor de out‑of‑bounds write). (nvd.nist.gov)

Aanpak: wat je nu kunt doen

• Update via je distributie:
  • Debian/Ubuntu: sudo apt update && sudo apt install –only-upgrade libssh2-1
  • RHEL/Fedora: sudo dnf upgrade libssh2
  • Controleer eventueel op beschikbare backports of security‑updates in je releasekanaal.
• Bouw je zelf: haal een versie binnen die commit 1762685 (EXT_INFO‑fix) en 97acf3d (transport‑fix) bevat, en compileer je applicatie opnieuw. (github.com)
• Mitigaties tot de update:
  • Beperk uitgaande SSH‑verbindingen tot vertrouwde hosts en streng host‑key‑beheer. (Let op: timeouts helpen hier niet tegen de CPU‑lus in CVE‑2026‑55199.) (nvd.nist.gov)
  • Scan je software‑bill‑of‑materials (SBOM) op libssh2 en plan updates voor alle afgeleide artefacten (containers, firmware, installers).

Extra context

• De DoS‑kwetsbaarheid is formeel vastgelegd als CVE‑2026‑55199; de fix controleert nu de terugkeerwaarde bij het parsen van EXT_INFO‑velden. (nvd.nist.gov)
• De geheugenfout is CVE‑2026‑55200; de patch weigert nu te grote packet_length‑waarden boven LIBSSH2_PACKET_MAXPAYLOAD. (nvd.nist.gov)

Kortom: update zo snel mogelijk. Staat je distributie‑update nog niet klaar, zorg dan dat je builds of vendor‑pakketten de genoemde upstream‑commits meenemen en minimaliseer in de tussentijd verbindingen met onbetrouwbare SSH‑servers. (github.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.