Уразливість у криптографії golang: пропуск перевірки User Presence у FIDO/U2F

Критична уразливість golang crypto дозволяє підписувати без фізичного дотику до FIDO/U2F ключів, що загрожує безпеці SSH-доступу.
CVE-2026-39831CVSS 9.1SSH

Уразливість у криптографії golang: пропуск перевірки User Presence у FIDO/U2F

Критична уразливість golang crypto дозволяє підписувати без фізичного дотику до FIDO/U2F ключів, що загрожує безпеці SSH-доступу.

CVSS
9.1 CRITICAL
EPSS
29.31%
Активно використовується
немає в KEV
Продукт
crypto

Що відомо

Метод Verify() для типів ключів FIDO/U2F у golang crypto не перевіряв прапорець User Presence, що дозволяло підписувати без фізичного дотику до апаратного ключа. Це створює ризик несанкціонованого використання апаратного ключа без присутності користувача.

Бізнес-вплив

Ця уразливість критична для організацій, які використовують golang crypto для SSH-автентифікації з апаратними ключами FIDO/U2F. Відсутність перевірки фізичної присутності користувача може призвести до несанкціонованого доступу до систем через апаратні ключі без їх власника. Це підвищує ризик компрометації облікових записів та інфраструктури.

Рекомендовані дії адміністратора

Адміністраторам рекомендується перевірити оновлення від golang щодо цієї уразливості та застосувати їх. Якщо оновлення недоступні, слід обмежити використання уразливих ключів, переглянути журнали доступу на предмет аномалій і зменшити експозицію систем, що використовують ці ключі. Також варто налаштувати PublicKeyCallback для повернення розширення "no-touch-required" у Permissions.Extensions, щоб відновити попередню поведінку.

Джерела