针对 libssh2 的远程代码执行漏洞(CVE-2026-55200)的概念验证(PoC)利用代码已公开,这将显著增加未打补丁系统遭遇实际攻击的风险。
漏洞技术分析
该漏洞影响 libssh2 1.11.1 及更早版本,问题出在客户端解析传入 SSH 数据包的 ssh2_transport_read() 函数中。漏洞代码路径在使用攻击者可控的 packet_length 字段进行解密数据包分配大小计算时,未能强制执行上限检查。
根据近期安全公告,这种未经验证的数据包长度可能导致 32 位整数溢出,造成堆分配空间不足。当后续代码信任原始的大 packet_length 值时,就会发生越界写入。
PoC 利用框架发布
安全研究人员已在 “exploitarium” 代码库发布 PoC,将这个逻辑错误转化为实际利用框架。该工具包包含一个 C11 验证器,可重现 libssh2 存在漏洞的算术逻辑,展示如何通过精心构造的 packet_length 值(如 0xffffffff)触发微小内存分配,而逻辑数据包尺寸仍保持极大值。
这种不匹配使后续数据包处理阶段能够执行基于 packet_length 的复制操作,从而有效突破分配缓冲区边界并破坏相邻堆结构。
攻击实现机制
除算术探测外,PoC 代码库还提供了一个用 Python 实现的最小化恶意 SSH 服务器。该服务器会协商加密 SSH 会话,然后发送一个格式异常的服务器到客户端数据包,其解密后的 packet_length 值专门设计用于触发该漏洞。
这个服务器框架表明,恶意或被入侵的 SSH 服务器,或位于网络路径上的中间人攻击者,无需认证或用户交互即可攻击基于 libssh2 的易受攻击客户端,这与 CVE-2026-55200 获得的 CVSS 9.2 评分相符。
影响范围与缓解措施
由于 libssh2 是 curl、备份 Agent、固件更新程序和嵌入式设备等流行工具的基础组件,任何链接该库并连接到不可信 SSH 端点的组件都可能成为 RCE 攻击目标。
上游维护者已在提交 97acf3dfda80c91c3a8c9f2372546301d4a1a7a8 中修复该漏洞,在执行存在漏洞的算术运算前添加严格检查,拒绝大于 LIBSSH2_PACKET_MAXPAYLOAD 的 packet_length 值。
目前多个发行版和下游项目仍在移植或发布包含补丁的构建版本,尚未广泛发布包含该修复的新版 libssh2。鉴于 PoC 已公开可用,建议各组织清点所有静态或动态链接 libssh2 的软件,应用包含上述提交的补丁或移植修复,并在修复过程中限制与不可信 SSH 服务器的连接。
参考来源:
PoC Exploit Released for libssh2 Remote Code Execution Vulnerability
云栈社区持续关注此类安全威胁,为你带来深度技术洞察与最新动态。 | 
发表于 3 小时前
|
查看: 3|
回复: 0
