CVE-2026-39832: Критична вразливість у бібліотеці golang crypto, що дозволяє обходити обмеження ключів SSH
Вразливість CVE-2026-39832 у golang crypto дозволяє обходити обмеження SSH ключів, що загрожує безпеці віддалених систем. Рекомендовано оновлення та перевірку ключів.
- CVSS
- 9.1 CRITICAL
- EPSS
- 25.74%
- Активно використовується
- немає в KEV
- Продукт
- crypto
Що відомо
У бібліотеці golang crypto виявлено критичну вразливість, через яку обмеження на використання ключів SSH (наприклад, restrict-destination-v00@openssh.com) не серіалізувалися при додаванні ключа до віддаленого агента. Це дозволяло використовувати ключ без обмежень на віддаленому хості.
Бізнес-вплив
Ця вразливість може призвести до несанкціонованого використання SSH-ключів на віддалених серверах, що підвищує ризик компрометації інфраструктури. Для операторів ІТ це означає потенційне порушення політик безпеки та можливі несанкціоновані доступи до критичних систем.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень від golang для бібліотеки crypto та застосувати їх. Якщо оновлення недоступні, слід обмежити використання віддалених агентів SSH, переглянути журнали доступу на предмет аномалій і мінімізувати експозицію ключів. Важливо також перевірити конфігурації ключів на наявність підтримуваних обмежень і відмовитися від ключів з невідомими розширеннями.