CVE-2026-55199: libssh2 sårbarhed rammer SSH-klienter
Sårbarhed i libssh2 lader en ondsindet SSH-server fryse din software i over et minut ved at udnytte en fejl under opkobling.
Hvad er det?
libssh2 er et udbredt programbibliotek (en kodefil som andre programmer bruger), der håndterer sikre SSH-forbindelser. I versioner op til og med 1.11.1 er der en fejl i den del af koden, der behandler en bestemt besked under opbygningen af en SSH-forbindelse — kaldet SSH_MSG_EXT_INFO.
En ondsindet SSH-server kan sende et manipuleret tal til klientens software, som får programmet til at sidde fast i en uendelig beregningssløjfe (en tight CPU loop) i over 60 sekunder. Fejlen opstår, fordi programmet ikke tjekker svaret fra en intern funktion korrekt, og fordi sessionens normale timeout ikke virker, når processoren er bundet i en sådan løkke.
Hvem rammer det?
Sårbarheden rammer virksomheder og udviklere, der bruger software som internt anvender libssh2-biblioteket til at oprette SSH-forbindelser — f.eks. backup-løsninger, deploymentværktøjer, FTP-klienter med SFTP-understøttelse eller egne udviklet applikationer. Hvis din virksomhed bruger programmer, der automatisk forbinder til eksterne servere via SSH, kan du potentielt være berørt. Slutbrugere der kun anvender standard kommandolinje-SSH (OpenSSH) er ikke berørt af denne specifikke sårbarhed.
Hvad kan ske?
En angriber der kontrollerer eller kompromitterer en SSH-server, som dine systemer forbinder til, kan sende en manipuleret pakke. Det får din klients CPU (processor) til at arbejde på fuld kapacitet i over 60 sekunder per forsøg. Konsekvenserne kan være:
- Systemet der kører libssh2-klienten bliver uresponsivt eller meget langsomt.
- Automatiserede processer som backup, filoverførsler eller deployments stopper op.
- Gentagende angreb kan holde systemet permanent utilgængeligt (Denial of Service).
- Der er ingen risiko for datatyveri — angrebet påvirker udelukkende tilgængelighed, ikke fortrolighed eller integritet af data.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 5.9 (Moderat). Angrebet kræver høj kompleksitet — angriberen skal kontrollere eller forfalske en SSH-server, som offeret aktivt forbinder til. Det gør det sværere at udnytte end mange andre sårbarheder. Til gengæld kræves hverken login eller brugerinteraktion fra offerets side. Påvirkningen er begrænset til tilgængelighed (CPU-udtømning) og ikke datatab eller -tyveri. For de fleste SMV’er er risikoen moderat, men bør ikke ignoreres — særligt hvis I har automatiserede systemer der forbinder til eksterne SSH-servere.
Hvad gør jeg nu?
Følg disse trin for at håndtere sårbarheden:
- Identificér om du er berørt: Tjek om din virksomhed bruger software der er afhængig af libssh2 (f.eks. FileZilla, WinSCP, curl, Ansible, eller egne applikationer). Spørg din IT-leverandør eller udvikler hvis du er usikker.
- Opdatér libssh2: Sørg for at opdatere libssh2 til en version der indeholder commit 1762685 — dette er den officielle rettelse. Kontakt din softwareleverandør og bed dem bekræfte, at de bruger en rettet version.
- Opdatér afhængige programmer: Programmer der bruger libssh2 internt (f.eks. backup-software, deploymentværktøjer) skal også opdateres, så de benytter den rettede version af biblioteket.
- Vurder dine SSH-forbindelser: Gennemgå hvilke eksterne SSH-servere jeres systemer automatisk forbinder til. Sørg for, at I kun forbinder til servere I stoler på og kontrollerer.
- Hold øje med opdateringer: Følg med i opdateringer fra dine softwareleverandører og sørg for at patch-processen sker løbende.
Opdatér inden for 30 dage
Vi anbefaler, at du inden for de næste 30 dage identificerer al software i din virksomhed der bruger libssh2, og sikrer at det er opdateret til en version med rettelsen fra commit 1762685. Risikoen er moderat — angrebet kræver, at en angriber kontrollerer en server I forbinder til — men automatiserede systemer der henter filer eller kører scripts via SSH bør prioriteres. Kontakt din IT-leverandør og bed dem gennemgå og opdatere relevante systemer.
Tidslinje
Konkrete eksempler
Automatisk backup stoppes af ondsindet server
En virksomhed bruger et backup-program der sender filer til en ekstern SFTP-server via libssh2. En angriber der har kompromitteret den eksterne server sender en manipuleret SSH_MSG_EXT_INFO-pakke med en ekstrem extensions-tæller under forbindelsesopbygningen. Backup-programmet går i en CPU-løkke i over 60 sekunder, og backupjobbet fejler. Gentages angrebet, udebliver backups i dagevis uden at nogen opdager det.
Deploymentværktøj lægges ned under udgivelse
Et udviklingshold bruger et automatiseret deploymentværktøj (f.eks. Ansible eller et CI/CD-system) der logger ind på servere via SSH med libssh2. En angriber der sidder i samme netværkssegment som målserveren forfalsker SSH-serverens svar under key exchange og sender en ugyldig extensions-tæller. Deploymentværktøjets server hænger i over et minut, og udgivelsen af ny software forsinkes eller fejler — særligt kritisk ved akutte sikkerhedsopdateringer.
Webshop-integration til ekstern leverandør afbrydes
En webshop bruger et PHP-baseret plugin der via libcurl (som kan anvende libssh2) henter lagerstatus fra en ekstern leverandørs SFTP-server. En ondsindet aktør der har adgang til leverandørens netværk manipulerer SSH-handshake-processen, og shopens server bruger al sin CPU-kapacitet i gentagne forsøg. Webshoppen oplever alvorlig ydeevneforringelse og kunderne ser fejlmeddelelser — indtil forbindelsen opgives og libssh2 er opdateret.
Ofte stillede spørgsmål
Bruger vi overhovedet libssh2?
Det er ikke altid synligt, fordi libssh2 typisk er indlejret i andre programmer. Almindelige programmer der kan bruge libssh2 inkluderer FileZilla, WinSCP, curl, libcurl-baserede applikationer og mange DevOps-værktøjer som Ansible. Din IT-leverandør eller udvikler kan hjælpe med at kortlægge dette.
Kan angriberen stjæle vores data med denne sårbarhed?
Nej. Denne sårbarhed påvirker udelukkende tilgængelighed — dvs. at dine systemer kan gå i stå eller bruge al processorkapacitet. Der er ingen risiko for, at angriberen kan læse, ændre eller stjæle data via denne sårbarhed.
Er det den samme sårbarhed som OpenSSH-fejl vi har hørt om?
Nej. libssh2 og OpenSSH er to separate softwareprodukter. OpenSSH er den SSH-klient og server de fleste Linux-systemer og Mac bruger direkte. libssh2 er et programbibliotek som andre applikationer bygger oven på. En fejl i det ene påvirker ikke det andet.
Hvad sker der konkret, hvis vi bliver angrebet?
Det berørte program vil binde CPU’en (processoren) op i over 60 sekunder og dermed gøre systemet langsomt eller utilgængeligt i den periode. Gentagne angreb kan holde systemet nede kontinuerligt. Det kan stoppe automatiske backups, filoverførsler eller andre planlagte opgaver.
Skal vi gøre noget med det samme, eller kan vi vente?
Sårbarheden er moderat alvorlig og kræver en vis kompleksitet at udnytte. Du behøver ikke panikke, men bør opdatere inden for 30 dage. Hvis I har systemer der automatisk forbinder til eksterne SSH-servere I ikke selv kontrollerer, bør I prioritere opdateringen hurtigere.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
libssh2 through 1.11.1, fixed in commit 1762685, contains a pre-authentication denial of service vulnerability in the SSH_MSG_EXT_INFO handler in src/packet.c that allows a malicious SSH server to cause a client CPU exhaustion loop by sending a crafted extension count value. A malicious server can set nr_extensions to 0xFFFFFFFF during key exchange, causing the client to spin in a tight CPU loop for over 60 seconds because return values from _libssh2_get_string() are unchecked and the session timeout does not apply to CPU-bound loops.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
