Katalog CVE

CVE-2026-39835

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 32 - wyżej niż 32% wszystkich znanych CVE

Streszczenie

Serwery SSH używające CertChecker jako wywołania zwrotnego klucza publicznego bez ustawienia IsUserAuthority lub IsHostAuthority mogą ulec awarii (panic) po przedstawieniu certyfikatu przez klienta. CertChecker teraz zwraca błąd zamiast panikować, gdy te wywołania są nil.

Ocena ryzyka

Atakujący może spowodować awarię serwera SSH, co prowadzi do przerwania działania usługi (DoS) i potencjalnej utraty dostępności dla uprawnionych użytkowników.

Rekomendacja

Zaktualizuj bibliotekę CertChecker do najnowszej wersji, która zawiera poprawkę zapobiegającą panikowaniu przy braku ustawionych wywołań zwrotnych IsUserAuthority i IsHostAuthority.

Oryginalny opis (angielski, źródło NVD)

SSH servers which use CertChecker as a public key callback without setting IsUserAuthority or IsHostAuthority could be caused to panic by a client presenting a certificate. CertChecker now returns an error instead of panicking when these callbacks are nil.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS