Oudere OpenSSH-kwetsbaarheden: pre-10.3, RHEL-varianten en een pre-auth DoS
Ik vatte eerder het pre-10.4-cluster van OpenSSH samen. De feeds bevatten ook een reeks oudere OpenSSH-kwetsbaarheden — nuttig om te weten omdat servers soms achterlopen.
De kwetsbaarheden
- CVE-2026-35387 — OpenSSH < 10.3 kan onbedoelde ECDSA-algoritmes gebruiken. Het vermelden van bepaalde algoritmes kan tot een zwakkere-dan-bedoelde keuze leiden.
- CVE-2026-55653 — double free in Red Hat Enterprise Linux-builds van OpenSSH. Distro- specifiek; relevant als je RHEL/derivaten draait.
- CVE-2026-55655 — lokale MitM van X11-forwarding via een abstract Unix-socket. Wij hebben
X11Forwarding nostaan, dus hier niet van toepassing — een goede reden om die hardening te houden. - CVE-2026-35414 — OpenSSH < 10.3 verwerkt de
authorized_keysprincipals-optie verkeerd. - CVE-2025-26466 — pre-authentication Denial of Service (ook door Fortinet’s PSIRT vermeld): een unauthenticated aanvaller kan sshd tot resource-uitputting drijven.
Waarom dit relevant is voor deze stack
OpenSSH is de enige extern bereikbare service (poort 22). We draaien met key-only auth,
MaxAuthTries 3, geen X11/TCP-forwarding en Fail2Ban ervoor — dat dekt de X11-MitM en dempt de
pre-auth DoS. Actueel blijven op de OpenSSH-versie sluit de rest.
Advies
Houd openssh-server actueel via unattended-upgrades. Behoud de bestaande hardening
(X11Forwarding no, forwarding uit). Controleer ssh -V en systemctl status ssh na updates.