Krytyczna luka w golang crypto umożliwiająca obejście ograniczeń klucza SSH
Krytyczna luka CVE-2026-39832 w golang crypto pozwala na obejście ograniczeń kluczy SSH. Zalecane szybkie aktualizacje i monitorowanie systemów.
- CVSS
- 9.1 CRITICAL
- EPSS
- 25.74%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- crypto
Co wiadomo
W bibliotece golang crypto wykryto poważną lukę, w której rozszerzenia ograniczeń klucza SSH nie były poprawnie serializowane podczas dodawania klucza do zdalnego agenta. Skutkowało to cichym usunięciem ograniczeń docelowych i umożliwiało nieograniczone użycie klucza na zdalnym hoście.
Wpływ biznesowy
Luka ta może pozwolić atakującym na wykorzystanie kluczy SSH bez wymaganych ograniczeń, co zwiększa ryzyko nieautoryzowanego dostępu do systemów zdalnych. Operatorzy infrastruktury korzystającej z golang crypto powinni traktować tę lukę jako krytyczną i podjąć działania w celu ograniczenia potencjalnych zagrożeń.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji biblioteki golang crypto u dostawcy oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję usług SSH, monitorować logi pod kątem nietypowego użycia kluczy oraz zweryfikować konfigurację agentów SSH pod kątem obsługi rozszerzeń ograniczeń kluczy.