Plateforme
linux
Composant
openssh
Corrigé dans
10.3
La vulnérabilité CVE-2026-35388 affecte OpenSSH avant la version 10.3. Elle se manifeste par un manque de confirmation du multiplexage de connexion en mode proxy, permettant à un attaquant de potentiellement provoquer un déni de service. Les versions concernées sont comprises entre 0 et 10.3. La mise à jour vers la version 10.3 corrige cette faille.
Cette vulnérabilité permet à un attaquant de provoquer un déni de service (DoS) sur un serveur OpenSSH. En exploitant l'absence de confirmation du multiplexage de connexion en mode proxy, l'attaquant peut submerger le serveur de requêtes, le rendant indisponible pour les utilisateurs légitimes. L'impact principal est donc la perturbation des services d'authentification et de transfert de fichiers via SSH. Bien que la sévérité soit classée comme faible, un DoS peut avoir des conséquences significatives, notamment l'interruption des opérations critiques et la perte de productivité. Il est important de noter que cette vulnérabilité pourrait être combinée avec d'autres attaques pour amplifier leur impact.
La vulnérabilité CVE-2026-35388 a été publiée le 2 avril 2026. Sa sévérité est classée comme faible (CVSS 2.5). Il n'y a pas d'indications d'une exploitation active à ce jour, ni de Proof of Concept (PoC) publiquement disponibles. La vulnérabilité n'est pas répertoriée sur KEV (Kernel Exploit Vulnerability) ni n'a de score EPSS (Exploit Prediction Scoring System).
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour OpenSSH vers la version 10.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement le mode proxy SSH si cela n'est pas essentiel à vos opérations. Une autre option, bien que moins efficace, est de limiter le nombre de connexions simultanées autorisées sur le serveur SSH via la configuration du fichier sshd_config. Après la mise à jour, vérifiez que le multiplexage de connexion fonctionne correctement en établissant une connexion SSH et en testant le transfert de fichiers ou l'exécution de commandes distantes.
Actualice OpenSSH a la versión 10.3 o superior. Esto solucionará la omisión de la confirmación de multiplexación de conexión para las sesiones de multiplexación en modo proxy.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
It's a vulnerability in OpenSSH versions before 10.3 where connection multiplexing confirmation is missing in proxy-mode sessions, potentially disrupting connections.
If you are running OpenSSH versions 0.0 through 10.2, you are potentially affected. Check your OpenSSH version and upgrade if necessary.
Upgrade OpenSSH to version 10.3 or later. Test the upgrade in a non-production environment first.
Currently, there are no publicly known exploits or active campaigns targeting this vulnerability.
Refer to the official NVD entry for CVE-2026-35388 and the OpenSSH security advisories for detailed information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.