平台
linux
组件
openssh
修复版本
10.3
CVE-2026-35387描述了OpenSSH中一个潜在的安全问题,该问题源于对ECDSA算法的处理方式。在OpenSSH版本低于10.3时,配置PubkeyAcceptedAlgorithms或HostbasedAcceptedAlgorithms时列出的ECDSA算法会被错误地解释为允许所有ECDSA算法的使用,从而可能导致安全风险。此漏洞的影响被评定为低危,建议用户尽快升级到10.3版本以消除风险。
此漏洞允许攻击者利用OpenSSH服务器配置中的ECDSA算法列表,绕过预期的安全限制。攻击者可以通过指定不受信任或弱化的ECDSA算法来执行身份验证,从而可能导致未经授权的访问。虽然CVSS评定为低危,但如果OpenSSH服务器用于关键系统或服务,则潜在影响仍然值得关注。攻击者可能利用此漏洞进行横向移动,访问其他受保护的系统,或者窃取敏感数据。由于ECDSA算法广泛应用于安全通信协议,因此该漏洞的潜在影响不应被低估。虽然目前没有公开的利用代码,但该漏洞的存在增加了攻击者利用其进行攻击的可能性。
CVE-2026-35387于2026年4月2日发布。目前,该漏洞的公开利用代码未知,但由于其潜在影响,应予以高度关注。EPSS评分尚未发布,因此无法确定其利用概率。NVD和CISA尚未发布相关公告,但预计未来会发布。建议用户密切关注安全公告,并及时采取缓解措施。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
解决CVE-2026-35387的最佳方法是升级到OpenSSH 10.3或更高版本。如果无法立即升级,可以考虑以下缓解措施:严格限制PubkeyAcceptedAlgorithms和HostbasedAcceptedAlgorithms中允许的ECDSA算法列表,只允许经过验证的、安全的算法。实施更严格的身份验证策略,例如多因素身份验证,以降低攻击者利用此漏洞的风险。监控OpenSSH服务器的日志,以检测任何异常活动或未经授权的访问尝试。如果升级过程中出现问题,可以考虑回滚到之前的稳定版本,并在升级前进行充分的测试。升级后,务必验证身份验证功能是否正常工作,并确认ECDSA算法配置是否符合安全要求。
Actualice OpenSSH a la versión 10.3 o posterior. Esto corregirá la interpretación incorrecta de los algoritmos ECDSA en las configuraciones PubkeyAcceptedAlgorithms o HostbasedAcceptedAlgorithms.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-35387是OpenSSH版本低于10.3的一个安全漏洞,允许攻击者利用未预期的ECDSA算法进行身份验证。
如果您正在使用OpenSSH版本低于10.3,则可能受到此漏洞的影响。请尽快升级到10.3或更高版本。
升级到OpenSSH 10.3或更高版本是修复此漏洞的最佳方法。如果无法升级,请严格限制ECDSA算法列表。
目前没有公开的利用代码,但由于其潜在影响,应予以高度关注。
您可以访问NVD(国家漏洞数据库)和CISA(网络安全和基础设施安全局)的网站,获取有关此漏洞的更多信息。
CVSS 向量