收起左侧

【重要安全提醒】libssh2 Client端整数溢出漏洞安全风险通告 20260630

0
回复
219
查看
[ 复制链接 ]

来源于上游 libssh2 远程代码执行漏洞 更新时间 20260630

漏洞名称:libssh2 Client 端整数溢出漏洞

漏洞编号 :CVE-2026-55200

风险等级:高危

影响范围:libssh2 <= 1.11.1

该问题影响使用 libssh2 处理 SSH/SFTP/SCP 连接的系统或应用,包括部分 curl/libcurl、备份同步工具、远程文件传输工具、自动化脚本及三方应用等场景。

风险描述:

libssh2 高危漏洞风险,出现在 SSH 数据包读取处理逻辑中。攻击者可构造异常 SSH 数据包,在受影响客户端连接恶意或被劫持的 SSH/SFTP/SCP 服务时触发内存越界写入,可能造成相关进程崩溃;在特定条件下,存在进一步造成代码执行的风险。

该漏洞主要影响主动通过 SSH/SFTP/SCP 方式连接其他设备或服务的客户端程序。仅开启 SSH 登录服务,或未使用受影响版本 libssh2 主动连接非信任 SSH/SFTP/SCP 服务的场景,受该漏洞影响较低。

处置建议:

  1. 避免在 fnOS 上运行来源不可信、包含 SSH/SFTP/SCP 连接能力的 Docker 容器或三方应用
  2. 避免通过 fnOS 设备、虚拟机、自动化脚本或其他服务,以 SSH/SFTP/SCP 方式连接非信任设备
  3. 关注 fnOS 官方更新及相关应用更新,及时升级 libssh2、curl/libcurl 及相关依赖到安全版本
收藏
送赞
分享
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则