🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

OpenSSH < 10.4: meerdere kwetsbaarheden in sshd, scp en sftp

13 July 2026 · bron: Ubuntu USN-8533-1 / Microsoft Security Update Guide · Hoog — meerdere sshd-CVE's, direct op de eigen stack

Er is een cluster kwetsbaarheden gepubliceerd in OpenSSH vóór versie 10.4. Omdat deze server zelf op OpenSSH draait (met SSH-hardening uit de base role), is dit direct relevant.

Wat is er aan de hand

Bestandsoverdracht (scp/sftp):

  • CVE-2026-59995 — OpenSSH sftp beperkt bij een aanval door een kwaadaardige server de locatie van gedownloade bestanden onvoldoende; bestanden kunnen buiten de bedoelde map worden weggeschreven.
  • CVE-2026-59996scp kan bij kopiëren tussen twee remote hosts bestanden in de bovenliggende map van de bestemming plaatsen.
  • CVE-2026-59997internal-sftp herkent alleen de eerste negen command-line argumenten, waardoor latere, beveiligingsrelevante argumenten stil worden genegeerd.

sshd hardening die niet werkt zoals gedocumenteerd:

  • CVE-2026-59998GSSAPIStrictAcceptorCheck heeft geen effect in een Windows Active Directory-omgeving.
  • CVE-2026-59999DisableForwarding=yes neemt niet zoals bedoeld voorrang op PermitTunnel=yes.
  • CVE-2026-60000MaxAuthTries wordt verkeerd afgehandeld voor GSSAPIAuthentication, wat een denial-of-service door overmatige authenticatiepogingen mogelijk maakt.
  • CVE-2026-60001 — de minimale authenticatievertraging wordt niet altijd gehonoreerd.
  • CVE-2026-60002 — een use-after-free in de ssh-client.

Waarom dit relevant is voor deze stack

De VPS accepteert SSH-verbindingen als root via key. MaxAuthTries staat op 3 en PasswordAuthentication uit, wat de impact beperkt — maar de scp/sftp-padproblemen en de DoS via GSSAPI blijven relevant zodra sftp/scp of GSSAPI in gebruik zijn.

Advies

Werk OpenSSH bij naar 10.4 of installeer de Ubuntu-fix uit USN-8533-1 (apt update && apt upgrade, daarna sshd herstarten). unattended-upgrades op deze server pakt security-updates automatisch op; controleer of de nieuwe openssh-server actief is met ssh -V en systemctl status ssh.

Lees het origineel: https://ubuntu.com/security/notices/USN-8533-1

← terug naar overzicht