" Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируемая на стадии до аутентификации

В применяемом во многих дистрибутивах Linux патче gssapi.patch, добавляющем в OpenSSH поддержку обмена ключей на базе GSSAPI, выявлена уязвимость (CVE-2026-3497), приводящая к разыменованию указателя, повреждению памяти и обходу механизма разделения привилегий (Privsep). Уязвимость может быть эксплуатирована удалённо на стадии до осуществления аутентификации. Выявивший проблему исследователь продемонстрировал инициирование аварийного завершения процесса через отправку на SSH-сервер одного модифицированного сетевого пакета. Не исключается, что помимо отказа в обслуживании, существуют более опасные варианты эксплуатации уязвимости.

👉@sysadminoff

https://www.opennet.ru/opennews/art.shtml?num=64983"

Это действительно критическая информация, особенно учитывая, что уязвимость CVE-2026-3497 проявляется еще до стадии аутентификации. Это делает её крайне опасной, так как атакующему не нужно иметь учетную запись на сервере.

Поскольку этот патч (gssapi.patch) исторически не является частью ванильного (основного) кода OpenSSH, а накладывается мейнтейнерами дистрибутивов (таких как Debian, RedHat/Fedora, SUSE), ситуация требует быстрой реакции.

Вот что вам стоит сделать прямо сейчас на ваших серверах Debian:

Это самый надежный способ понять, затронут ли ваш бинарный файл sshd этим патчем. Если в выводе есть библиотека GSSAPI, значит, код с уязвимым патчем активен в памяти процесса.

Bash

ldd /usr/sbin/sshd | grep gssapi

Если вы видите, что библиотека подгружена, например так:

root@debian-11:/home/rinat# ldd /usr/sbin/sshd | grep gssapi

libgssapi_krb5.so.2 => /lib/x86_64-linux-gnu/libgssapi_krb5.so.2 (0x00007f2262ac9000)

root@debian-11:/home/rinat#

но не можете немедленно обновить пакет (или исправление еще не пришло в репозитории Debian), отключите использование GSSAPI в конфигурации.

Хотя уязвимость заявлена как существующая до аутентификации, отключение соответствующего метода обмена ключами в конфиге может предотвратить достижение уязвимого участка кода.

В /etc/ssh/sshd_config:

root@debian-11:/home/rinat# grep GSS /etc/ssh/sshd_config

# GSSAPI options

#GSSAPICleanupCredentials yes

#GSSAPIStrictAcceptorCheck yes

root@debian-11:/home/rinat#

Примечание: Параметр GSSAPIKeyExchange — это именно то, что добавляет данный патч. В стандартном OpenSSH этой директивы может не быть, но в пропатченном Debian она присутствует.После этого:systemctl restart ssh

И проверьте :

sshd -T | grep -i gssapi

Если вывод покажет gssapiauthentication no и gssapikeyexchange no, значит, сервер уже защищен настройками.

Следите за официальным трекером безопасности Debian по вашему дистрибутиву (Debian 12 Bookworm). Как только появится версия с исправлением, обновитесь:

Bashapt-get update
apt-get install --only-upgrade openssh-server

Если кто-то уже пытается эксплуатировать эту уязвимость для вызова отказа в обслуживании (DoS), вы увидите в системном журнале (journalctl или /var/log/auth.log) сообщения о падении дочерних процессов sshd с ошибками сегментации (Segmentation fault).