OpenSSH: BSI warnt vor mehreren Lücken
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Update zu mehreren Schwachstellen in OpenSSH veröffentlicht. Die安全lücken betreffen die Open-Source-Implementierung des SSH-Protokolls in Versionen vor 10.3 sowie zahlreiche Linux-Distributionen.
Betroffene Schwachstellen
Ein entfernter Angreifer kann mehrere Schwachstellen in OpenSSH ausnutzen, um Code auszuführen, Privilegien zu erhöhen, Sicherheitsmechanismen zu umgehen oder Denial-of-Service-Angriffe durchzuführen. Das BSI klassifiziert die Schwachstellen mit einer CVSS-Bewertung von 7,5 (mittel) und Remoteangriff: Ja.
Die folgenden fünf CVEs wurden zugeordnet:
- CVE-2026-35385 – Nicht spezifizierter Angriffsvektor
- CVE-2026-35386 – Nicht spezifizierter Angriffsvektor
- CVE-2026-35387 – Nicht spezifizierter Angriffsvektor
- CVE-2026-35388 – Nicht spezifizierter Angriffsvektor
- CVE-2026-35414 – Nicht spezifizierter Angriffsvektor
Betroffene Systeme
Die Schwachstellen betreffen eine breite Palette von Systemen und Distributionen:
- OpenSSH < 10.3
- Debian Linux, Ubuntu Linux, Fedora Linux
- Red Hat Enterprise Linux, Oracle Linux, Rocky Linux
- SUSE Linux, SUSE openSUSE
- Amazon Linux 2, Microsoft Azure Linux
- IBM AIX 7.2 und 7.3, IBM VIOS 4.1
- Google Container-Optimized OS
- Red Hat OpenShift Container Platform < 4.19.32
- NetApp ActiveIQ Unified Manager
Gegenmaßnahmen
Das BSI empfiehlt, betroffene Systeme zeitnah auf die aktuellste Version zu aktualisieren. OpenSSH 10.3 behebt die bekannten Schwachstellen. Zahlreiche Distributoren haben bereits Sicherheitsupdates bereitgestellt, darunter Red Hat (RHSA-2026:25063), SUSE und Rocky Linux.
Da SSH zu den grundlegenden Netzwerkdiensten gehört und praktisch auf jedem Server-System eingesetzt wird, sollte dieses Update mit hoher Priorität behandelt werden.
Quellen
Quelle: BSI Warn- und Informationsdienst (WID), Stand 07.07.2026
Kommentar abschicken