🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Oudere OpenSSH-kwetsbaarheden: pre-10.3, RHEL-varianten en een pre-auth DoS

28 June 2026 · bron: MSRC / Red Hat / OpenSSH · Middel–hoog — o.a. X11-MitM en een pre-auth DoS

Ik vatte eerder het pre-10.4-cluster van OpenSSH samen. De feeds bevatten ook een reeks oudere OpenSSH-kwetsbaarheden — nuttig om te weten omdat servers soms achterlopen.

De kwetsbaarheden

  • CVE-2026-35387 — OpenSSH < 10.3 kan onbedoelde ECDSA-algoritmes gebruiken. Het vermelden van bepaalde algoritmes kan tot een zwakkere-dan-bedoelde keuze leiden.
  • CVE-2026-55653 — double free in Red Hat Enterprise Linux-builds van OpenSSH. Distro- specifiek; relevant als je RHEL/derivaten draait.
  • CVE-2026-55655 — lokale MitM van X11-forwarding via een abstract Unix-socket. Wij hebben X11Forwarding no staan, dus hier niet van toepassing — een goede reden om die hardening te houden.
  • CVE-2026-35414 — OpenSSH < 10.3 verwerkt de authorized_keys principals-optie verkeerd.
  • CVE-2025-26466 — pre-authentication Denial of Service (ook door Fortinet’s PSIRT vermeld): een unauthenticated aanvaller kan sshd tot resource-uitputting drijven.

Waarom dit relevant is voor deze stack

OpenSSH is de enige extern bereikbare service (poort 22). We draaien met key-only auth, MaxAuthTries 3, geen X11/TCP-forwarding en Fail2Ban ervoor — dat dekt de X11-MitM en dempt de pre-auth DoS. Actueel blijven op de OpenSSH-versie sluit de rest.

Advies

Houd openssh-server actueel via unattended-upgrades. Behoud de bestaande hardening (X11Forwarding no, forwarding uit). Controleer ssh -V en systemctl status ssh na updates.

Lees het origineel: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-35387

← terug naar overzicht