CVE-2026-39835
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 - wyżej niż 32% wszystkich znanych CVE
Streszczenie
Serwery SSH używające CertChecker jako wywołania zwrotnego klucza publicznego bez ustawienia IsUserAuthority lub IsHostAuthority mogą ulec awarii (panic) po przedstawieniu certyfikatu przez klienta. CertChecker teraz zwraca błąd zamiast panikować, gdy te wywołania są nil.
Ocena ryzyka
Atakujący może spowodować awarię serwera SSH, co prowadzi do przerwania działania usługi (DoS) i potencjalnej utraty dostępności dla uprawnionych użytkowników.
Rekomendacja
Zaktualizuj bibliotekę CertChecker do najnowszej wersji, która zawiera poprawkę zapobiegającą panikowaniu przy braku ustawionych wywołań zwrotnych IsUserAuthority i IsHostAuthority.
Oryginalny opis (angielski, źródło NVD)
SSH servers which use CertChecker as a public key callback without setting IsUserAuthority or IsHostAuthority could be caused to panic by a client presenting a certificate. CertChecker now returns an error instead of panicking when these callbacks are nil.

