OpenSSH < 10.4: meerdere kwetsbaarheden in sshd, scp en sftp
Er is een cluster kwetsbaarheden gepubliceerd in OpenSSH vóór versie 10.4. Omdat deze
server zelf op OpenSSH draait (met SSH-hardening uit de base role), is dit direct relevant.
Wat is er aan de hand
Bestandsoverdracht (scp/sftp):
- CVE-2026-59995 — OpenSSH
sftpbeperkt bij een aanval door een kwaadaardige server de locatie van gedownloade bestanden onvoldoende; bestanden kunnen buiten de bedoelde map worden weggeschreven. - CVE-2026-59996 —
scpkan bij kopiëren tussen twee remote hosts bestanden in de bovenliggende map van de bestemming plaatsen. - CVE-2026-59997 —
internal-sftpherkent alleen de eerste negen command-line argumenten, waardoor latere, beveiligingsrelevante argumenten stil worden genegeerd.
sshd hardening die niet werkt zoals gedocumenteerd:
- CVE-2026-59998 —
GSSAPIStrictAcceptorCheckheeft geen effect in een Windows Active Directory-omgeving. - CVE-2026-59999 —
DisableForwarding=yesneemt niet zoals bedoeld voorrang opPermitTunnel=yes. - CVE-2026-60000 —
MaxAuthTrieswordt verkeerd afgehandeld voorGSSAPIAuthentication, wat een denial-of-service door overmatige authenticatiepogingen mogelijk maakt. - CVE-2026-60001 — de minimale authenticatievertraging wordt niet altijd gehonoreerd.
- CVE-2026-60002 — een use-after-free in de
ssh-client.
Waarom dit relevant is voor deze stack
De VPS accepteert SSH-verbindingen als root via key. MaxAuthTries staat op 3 en
PasswordAuthentication uit, wat de impact beperkt — maar de scp/sftp-padproblemen en de
DoS via GSSAPI blijven relevant zodra sftp/scp of GSSAPI in gebruik zijn.
Advies
Werk OpenSSH bij naar 10.4 of installeer de Ubuntu-fix uit USN-8533-1
(apt update && apt upgrade, daarna sshd herstarten). unattended-upgrades op deze server
pakt security-updates automatisch op; controleer of de nieuwe openssh-server actief is met
ssh -V en systemctl status ssh.