Katalog CVE

CVE-2025-5372

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 32 - wyżej niż 32% wszystkich znanych CVE

Streszczenie

W libssh, w wersjach zbudowanych z OpenSSL starszym niż 3.0, znaleziono błąd w funkcji ssh_kdf() odpowiedzialnej za derivację kluczy. Z powodu niespójnej interpretacji wartości zwracanych, funkcja może błędnie zwrócić status sukcesu, nawet gdy derivacja klucza się nie powiodła.

Ocena ryzyka

Może to prowadzić do użycia niezainicjowanych buforów kluczy kryptograficznych w kolejnych komunikacjach, co potencjalnie zagraża poufności, integralności i dostępności sesji SSH.

Rekomendacja

Zaleca się aktualizację libssh do wersji zbudowanej z OpenSSL 3.0 lub nowszym, aby wyeliminować ten problem.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in libssh versions built with OpenSSL versions older than 3.0, specifically in the ssh_kdf() function responsible for key derivation. Due to inconsistent interpretation of return values where OpenSSL uses 0 to indicate failure and libssh uses 0 for success—the function may mistakenly return a success status even when key derivation fails. This results in uninitialized cryptographic key buffers being used in subsequent communication, potentially compromising SSH sessions' confidentiality, integrity, and availability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS