CVE-2025-15661: Sårbarhed i libssh2 – hvad du skal gøre
Fejl i libssh2 gør det muligt for en ondsindet SSH-server at crashe dit system eller læse følsomme data fra hukommelsen.
Hvad er det?
CVE-2025-15661 er en sårbarhed i biblioteket libssh2 – et udbredt stykke kode, som mange programmer bruger til at lave sikre SSH/SFTP-forbindelser (krypterede filoverførsler og fjernforbindelser). Fejlen sidder i en funktion kaldet sftp_symlink() og skyldes, at programmet ikke tjekker, om de data det modtager fra en server faktisk er så lange, som serveren påstår. Det er en såkaldt out-of-bounds heap read – programmet læser data fra et sted i computerens hukommelse, det ikke burde have adgang til. Fejlen er fundet og rettet i en specifik kode-opdatering, men alle versioner op til og med 1.11.1 er sårbare.
Hvem rammer det?
Sårbarheden rammer dig, hvis din virksomhed bruger software der anvender libssh2 til SFTP-filoverførsler (f.eks. automatiserede backupløsninger, FTP-klienter, DevOps-værktøjer eller integrationer med eksterne servere). Det gælder særligt:
- Virksomheder der overfører filer til eller fra eksterne SSH/SFTP-servere
- Systemer der bruger open source-biblioteker som cURL, PHP, eller Python-pakker med libssh2 som afhængighed
- IT-miljøer hvor tredjeparter forbinder sig via SFTP
Angriberen skal enten kontrollere den SSH-server du forbinder til, eller befinde sig som man-in-the-middle (aflytte og manipulere forbindelsen undervejs) – det kræver en vis indsats.
Hvad kan ske?
En angriber der udnytter sårbarheden kan gøre to ting:
- Crashe dit program: Ved at sende et manipuleret svar kan serveren få dit programs SSH/SFTP-forbindelse til at gå ned – det kan afbryde vigtige processer, automatiserede opgaver eller backups.
- Læse data fra hukommelsen: Angriberen kan potentielt få adgang til indholdet af din computers arbejdshukommelse (RAM) på det tidspunkt – det kan indeholde følsomme data som adgangskoder, krypteringsnøgler eller forretningsdata der tilfældigvis befinder sig i hukommelsen.
Angriberen kan ikke direkte skrive til dit system eller installere malware via denne sårbarhed alene.
Hvor alvorligt er det?
Sårbarheden er vurderet til 6.5 ud af 10 – Moderat i det internationale CVSS-klassificeringssystem. Det er ikke en kritisk fejl, men den bør tages seriøst. Angrebskompleksiteten er høj, hvilket betyder at det kræver særlige betingelser at udnytte den – angriberen skal enten kontrollere den server du forbinder til, eller aktivt aflytte din netværkstrafik. Der er ingen kendte aktive angreb på nuværende tidspunkt. Konsekvenserne er dog reelle: nedbrud af tjenester og potentielt datalæk fra hukommelsen.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Find ud af om du bruger libssh2: Spørg din IT-ansvarlige eller leverandør om jeres software anvender libssh2. Det kan f.eks. gemme sig i PHP, cURL, eller andre programmer der laver SFTP-forbindelser.
- Opdatér libssh2: Sørg for at opdatere til en version der indeholder commit 2dae302 eller nyere. Tjek med din software-leverandør om en opdateret version er tilgængelig.
- Opdatér afhængige programmer: Opdatér alle programmer der bruger libssh2, f.eks. cURL, PHP eller andre pakker – mange leverandører vil frigive opdaterede versioner.
- Vær forsigtig med SFTP-forbindelser til ukendte servere: Undgå at forbinde til SFTP-servere du ikke fuldt ud stoler på, indtil opdateringen er på plads.
- Overvåg for nedbrud: Hold øje med om jeres SFTP-relaterede processer oplever uventede nedbrud – det kan være tegn på udnyttelsesforsøg.
Opdatér inden for 30 dage
Vi anbefaler at du inden for de næste 30 dage sikrer dig, at alle systemer der bruger libssh2 er opdateret til en patchet version. Kontakt din IT-leverandør og bed dem bekræfte, at den relevante opdatering er implementeret. Selvom angrebskompleksiteten er høj, er konsekvenserne – potentielt datalæk og systemnedbrud – alvorlige nok til at prioritere opdateringen frem for at vente på næste ordinære vedligeholdelsesvindue.
Tidslinje
Konkrete eksempler
Ondsindet SFTP-server crasher jeres backup
Forestil dig at jeres automatiserede backup-løsning hver nat overfører filer til en ekstern SFTP-server hos en leverandør. Hvis denne leverandør er kompromitteret – eller I ved en fejl forbinder til en falsk server – kan serveren sende et manipuleret svar til jeres system. Det får jeres backup-software til at gå ned, og backuppen gennemføres ikke. I opdager det måske først næste gang I har brug for at gendanne data.
Man-in-the-middle på usikret netværk
En medarbejder arbejder hjemmefra på et usikret netværk og bruger et program der forbinder til virksomhedens SFTP-server. En angriber på samme netværk placerer sig som mellemmand og sender manipulerede pakker til medarbejderens computer. Via fejlen i libssh2 kan angriberen udlæse indhold fra computerens hukommelse – potentielt inklusiv sessionsnøgler eller adgangskoder der er i brug på det tidspunkt.
Webshop-integration med leverandør via SFTP
En mindre webshop udveksler dagligt lagerstatus og ordredata med sin grossist via en automatiseret SFTP-integration. Hvis grossistens server er kompromitteret og begynder at sende manipulerede svar, kan det få webshoppens integration til at crashe gentagne gange. Det afbryder ordresynkroniseringen og kan i en travl periode betyde tabte ordrer og manuelt arbejde for at genoprette dataflowet.
Ofte stillede spørgsmål
Hvad er libssh2, og bruger vi det?
libssh2 er et programbibliotek (en samling kode) som mange programmer bruger til at lave krypterede SSH- og SFTP-forbindelser. Du bruger sandsynligvis libssh2 hvis I overfører filer via SFTP, bruger automatiserede backup-løsninger, eller anvender programmer som cURL eller PHP. Spørg din IT-ansvarlige om at tjekke jeres systemer.
Skal vi stoppe med at bruge SFTP nu?
Nej, I behøver ikke stoppe med at bruge SFTP. I skal opdatere den software der bruger libssh2. SFTP som protokol er stadig sikker – det er en specifik fejl i dette bibliotek der skal rettes. Når opdateringen er på plads, kan I fortsætte som normalt.
Kan en angriber få adgang til alle vores filer via denne sårbarhed?
Nej, ikke direkte. Angriberen kan ikke installere software eller tilgå jeres filer via denne fejl alene. Det der kan ske, er at angriberen læser noget af det indhold der tilfældigvis befinder sig i computerens arbejdshukommelse på det præcise tidspunkt – det kan i værste fald indeholde adgangskoder eller andre følsomme data. Angriberen kan heller ikke skrive til jeres systemer via denne sårbarhed.
Hvad er en man-in-the-middle-angriber?
En man-in-the-middle-angriber er en person der har placeret sig mellem jer og den server I kommunikerer med – lidt ligesom en usynlig mellemmand der kan læse og ændre beskeder undervejs. Det kræver normalt at angriberen har adgang til jeres netværk, f.eks. via et kompromitteret Wi-Fi-netværk eller ved at have adgang til jeres netværksinfrastruktur.
Er der kendte angreb der udnytter denne sårbarhed?
På nuværende tidspunkt er der ikke rapporteret om aktive angreb der udnytter CVE-2025-15661 i stor skala. Angrebskompleksiteten er høj, hvilket gør det sværere at udnytte. Det betyder dog ikke at I skal ignorere det – opdatér så hurtigt som muligt for at lukke risikoen.
Hvordan ved vi om vi har opdateret korrekt?
Bed din IT-ansvarlige eller leverandør om at bekræfte skriftligt, at libssh2 er opdateret til en version der indeholder rettelsen fra commit 2dae302 (typisk en version udgivet efter juni 2026). I kan også tjekke versionsnummeret på libssh2 ved hjælp af jeres pakkehåndtering – er det 1.11.1 eller ældre, er I ikke beskyttet.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
libssh2 through 1.11.1, fixed in commit 2dae302, contains an out-of-bounds heap read vulnerability in the sftp_symlink() function in src/sftp.c that allows a malicious SSH server or man-in-the-middle attacker to disclose heap memory contents or cause a crash by sending a crafted SSH_FXP_NAME response. Attackers can supply a link_len value larger than the actual packet data in SSH_FXP_NAME responses for SFTP READLINK and REALPATH operations, triggering a heap buffer over-read of up to target_len minus one bytes due to the missing validation of available packet buffer size before the memcpy operation.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
