Twee grote gaten in beveiligingsbibliotheek libssh2 geven malware- en dos-gevaar

In dit artikel:

De opensourcebibliotheek libssh2, die op veel systemen en in tal van apps en ontwikkeltools wordt gebruikt voor beveiligde ssh-verbindingen, bevat twee ernstige kwetsbaarheden in alle versies. De bekendste daarvan, CVE-2026-55200, is een geheugenvout waarmee een aanvaller via verkeerd gevormde of te grote ssh-pakketten eigen code kan uitvoeren op een kwetsbaar systeem. De tweede fout, CVE-2026-55199, zit in het authenticatieproces en kan worden misbruikt om een server of verbindend systeem plat te leggen met een denial-of-serviceaanval.

De risico’s zijn hoog: de eerste fout krijgt een CVSS-score van 9,2 en de tweede 8,2. Volgens de melding zijn er vooralsnog geen aanwijzingen dat deze lekken al actief worden misbruikt. De oplossingen staan wel al als codewijzigingen op GitHub en zijn eind april en twee weken geleden in de hoofdtak van het project opgenomen, maar ze zijn nog niet uitgebracht in een officiële nieuwe release. De meest recente vrijgegeven versie blijft daardoor 1.11.1 uit oktober 2024.

Voor gebruikers betekent dit dat hun veiligheid ook afhangt van hun softwareleverancier: veel Linux-distributies moeten de gepatchte versie nog overnemen. Beveiligingsgericht systeem Kali Linux heeft dat al gedaan in een subrelease sinds 20 mei, en Debian test de nieuwe versie sinds 18 mei.