libssh2: Teils kritische Lücken in populärer SSH-Bibliothek

In der aktuellen Version der quelloffenen SSH-Bibliothek libssh2 klaffen zwei gefährliche Sicherheitslücken. Angreifer können damit potenziell Schadcode zur Ausführung bringen oder auf einem Client-System die CPU temporär in einer Schleife gefangen halten. Im Code sind beide Lücken gepatcht worden. Ein neues Release, welches die Patches inkludiert, scheint es jedoch noch nicht zu geben.

Eine der beiden Sicherheitslücken ist als CVE-2026-55200(öffnet im neuen Fenster) registriert und erreicht mit einem CVSS-Wert von 9,2 einen kritischen Schweregrad. Die Ursache dieser Lücke liegt laut Beschreibung(öffnet im neuen Fenster) in einer unzureichenden Überprüfung der Größe des Datenfeldes package_length in der Funktion ssh2_transport_read().

Angreifer können CVE-2026-55200 ausnutzen, indem sie speziell gestaltete SSH-Pakete mit übermäßig großen package_length-Werten übermitteln und dadurch Schreibvorgänge außerhalb vorgesehener Grenzen auslösen. Die Folge ist eine Korruption des Heap-Speichers, wodurch im schlimmsten Fall Schadcode eingeschleust und zur Ausführung gebracht werden kann.

Die zweite Lücke ist als CVE-2026-55199(öffnet im neuen Fenster) registriert und erreicht einen hohen Schweregrad (CVSS: 8,2). Laut Github-Advisory(öffnet im neuen Fenster) handelt es sich um eine Denial-of-Service-Lücke. Zur Ausnutzung muss ein Angreifer einen eigenen SSH-Server bereitstellen und einen Client dazu bringen, sich mit diesem zu verbinden.

"Ein böswilliger Server kann während des Schlüsselaustauschs den Wert nr_extensions auf 0xFFFFFFFF setzen, wodurch der Client über 60 Sekunden lang in einer engen CPU-Schleife gefangen bleibt, da die Rückgabewerte von _libssh2_get_string() nicht überprüft werden und das Sitzungszeitlimit für CPU-gebundene Schleifen nicht gilt", heißt es in der Beschreibung.

Alle Versionen von libssh2 bis einschließlich der seit Oktober 2024(öffnet im neuen Fenster) als aktuell geltenden Version 1.11.1 sollen anfällig für CVE-2026-55199 und CVE-2026-55200 sein. Korrekturen wurden mit den Commits 1762685(öffnet im neuen Fenster) und 97acf3d(öffnet im neuen Fenster) bereitgestellt. Wann ein neues Release mit den beiden Patches erscheint, ist noch unklar.