Qualysは2月18日(米国時間)、「Qualys TRU Discovers Two Vulnerabilities in OpenSSH: CVE-2025-26465 & CVE-2025-26466|Qualys Security Blog」において、OpenSSHから2件の脆弱性を発見したと報じた。

これら脆弱性を悪用されると、攻撃者に認証前サービス運用妨害(DoS: Denial of Service)やセッションの傍受および改ざんされるリスクがある。

  • Qualys TRU Discovers Two Vulnerabilities in OpenSSH: CVE-2025-26465 & CVE-2025-26466|Qualys Security Blog

    Qualys TRU Discovers Two Vulnerabilities in OpenSSH: CVE-2025-26465 & CVE-2025-26466|Qualys Security Blog

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-26465 - 不十分なエラー処理の脆弱性。中間者攻撃可能な攻撃者は任意のサーバになりすます可能性がある(CVSSスコア: 6.8)
  • CVE-2025-26466 - 認証前のサービス運用妨害(DoS)を可能にする脆弱性。攻撃者はメモリとCPUのリソースを非対称に消費できる可能性がある(CVSSスコア: 不明)

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • OpenSSH 6.8p1から9.9p1までのバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • OpenSSH 9.9p2

対象の脆弱性はサーバ側およびクライアント側双方に影響する。悪用されるとサーバへの不正アクセスや、アクセスを恒久的に妨害される可能性がある。このような攻撃を回避するため、当該製品を運用している管理者には速やかなアップデートが推奨されている。