Twee grote gaten in beveiligingsbibliotheek libssh2 geven malware- en dosgevaar

In dit artikel:

De opensourcebibliotheek libssh2, die wereldwijd wordt gebruikt voor beveiligde ssh-verbindingen in software en besturingssystemen, bevat twee ernstige kwetsbaarheden in alle versies. Daardoor kunnen aanvallers in het ergste geval kwaadaardige code uitvoeren of systemen onbereikbaar maken.

De eerste fout, CVE-2026-55200, is een geheugenprobleem in de verwerking van te grote ssh-pakketten. Daarmee kan een aanvaller een kwetsbaar systeem mogelijk overnemen; deze lek krijgt een hoge CVSS-score van 9,2. De tweede, CVE-2026-55199, zit in het authenticatieproces en kan een server laten crashen via een denial-of-serviceaanval. Die kwetsbaarheid is eveneens zwaar, met een score van 8,2.

De opgeloste code staat al in de hoofdtak van libssh2 op GitHub en werd eind april en twee weken geleden doorgevoerd, maar er is nog geen officiële nieuwe release verschenen. De huidige officiële versie is nog steeds 1.11.1 uit oktober 2024. Volgens Heise zijn er voor zover bekend nog geen actieve aanvallen gemeld. Linux-distributies moeten de fixes vaak ook nog verwerken; Kali heeft sinds 20 mei al een aangepaste versie, en Debian test die nieuwe release sinds 18 mei.