Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2019-3855

8,8 HIGH CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft libssh2, eine weit verbreitete Programmbibliothek, mit der Anwendungen SSH-Verbindungen aufbauen. Der Fehler steckt in der Art und Weise, wie die Bibliothek die vom Server gesendeten Datenpakete einliest. Dabei kann es zu einem Ganzzahlüberlauf kommen: Eine interne Größenberechnung läuft über den zulässigen Wertebereich hinaus, wodurch anschließend Daten außerhalb des dafür vorgesehenen Speicherbereichs geschrieben werden. Ein solcher Schreibzugriff über die Puffergrenzen hinaus lässt sich ausnutzen, um eigenen Code einzuschleusen. Angreifbar ist dabei nicht der Server, sondern die Client-Seite: Wenn ein Angreifer einen SSH-Server unter seine Kontrolle bringt oder einen bösartigen Server betreibt, kann er einem verbindenden Client manipulierte Pakete unterschieben und auf dessen System Code ausführen. Betroffen sind alle Programme, die zum Aufbau von SSH-Verbindungen auf die anfällige Version von libssh2 zurückgreifen.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln