Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-55199

8,2 HIGH CVSS Basis-Score
Beschreibung

Die Schwachstelle betrifft die Client-Bibliothek libssh2, mit der Programme SSH-Verbindungen aufbauen. Der Fehler steckt in der Verarbeitung einer bestimmten SSH-Nachricht, mit der während des Schlüsselaustauschs die vom Gegenüber unterstützten Protokollerweiterungen mitgeteilt werden. Ein bösartiger SSH-Server kann darin eine absichtlich überhöhte Anzahl angeblicher Erweiterungen angeben. Weil die Bibliothek die Rückgabewerte beim Auslesen der einzelnen Einträge nicht prüft, gerät der Client in eine enge Schleife und lastet den Prozessor über längere Zeit vollständig aus. Der reguläre Verbindungs-Zeitüberschreitungsmechanismus greift hier nicht, da er rechenintensive Schleifen nicht abbricht. Auf diese Weise lässt sich ein Denial of Service herbeiführen. Besonders heikel ist, dass der Angriff bereits vor jeder Authentifizierung möglich ist: Es genügt, dass sich ein Client mit einem vom Angreifer kontrollierten Server verbindet – etwa über eine untergeschobene oder manipulierte Serveradresse.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln