Уязвимость в GSSAPI-патче к OpenSSH, удалённо эксплуатируемая на стадии до аутентификации

13.03.2026 09:48 (MSK)

В применяемом во многих дистрибутивах Linux патче gssapi.patch, добавляющем в OpenSSH поддержку обмена ключей на базе GSSAPI, выявлена уязвимость (CVE-2026-3497), приводящая к разыменованию указателя, повреждению памяти и обходу механизма разделения привилегий (Privsep). Уязвимость может быть эксплуатирована удалённо на стадии до осуществления аутентификации. Выявивший проблему исследователь продемонстрировал инициирование аварийного завершения процесса через отправку на SSH-сервер одного модифицированного сетевого пакета. Не исключается, что помимо отказа в обслуживании, существуют более опасные варианты эксплуатации уязвимости.

Примечательно, что в своё время разработчики OpenSSH отказались принимать в основной состав изменение для поддержки GSSAPI из-за сомнений в его безопасности. При этом многие дистрибутивы Linux включили данный патч в свои пакеты c OpenSSH. В обиходе встречается несколько версий GSSAPI-патча, но в большинстве из них имеется приводящая к уязвимости ошибка. Исправление пока доступно только в форме патча, изменения в котором сводятся к замене вызова функции sshpkt_disconnect() на ssh_packet_disconnect() в файле kexgsss.c.

В настоящее время наличие уязвимости подтверждено в Debian и Ubuntu. В остальных дистрибутивах применение проблемного патча и его подверженность уязвимости уточняется (SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora). Уязвимость проявляется только при включении в настройках опции "GSSAPIKeyExchange yes". На возможность эксплуатации также влияют опции компилятора с которыми в дистрибутивах собран пакет.

Причиной возникновение уязвимости является ошибка в функции sshpkt_disconnect(), из-за которой процесс не завершался после поступления disconnect-сообщения, что позволяло атакующему на стадии согласования ключей отправить не предусмотренный логикой работы сервера тип GSSAPI-сообщения. После поступления внепланового GSSAPI-сообщения, сервер помещает его в очередь и не прерывает выполнение программы, но при этом не инициализирует переменные, определяющие параметры соединения. В дальнейшем в цикле обработки событий выполняется код, который читает неинициализированную структуру recv_tok из стека (читаются данные, оставшиеся в стеке от прошлого вызова функции), отправляет её привилегированному процессу через IPC и затем передаёт в функцию gss_release_buffer(), которая может вызвать функцию free() и освободить память для некорректного указателя, ссылающегося на случайную область памяти.

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64983-gssapi

Ключевые слова: gssapi, openssh

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (64)

1.1, Жироватт (ok), 10:57, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Т.е. я правильно понял, что для эксплуатации уязвимости: а) либа должна быть собрана со сторонним (левым) патчем б) нужен специфический набор ключей при сборке пакета в) эта фича должна быть вообще включена руками г) она может только DoS? Напомнило шуточные инструкции по установке вируса в линукс (обычно у автора он не убунта или федора), где в конце грепается адрес криптокошелька из исходника вируса и туда засылается 5 баксов просто из жалости

2.4, Аноним (4), 10:59, 13/03/2026 [^] [^^] [^^^] [ответить]	+13 +/–
> Т.е. я правильно понял, что для эксплуатации уязвимости: > а) Либа должна быть собрана со сторонним (левым) патчем Этот левый патч для тебя уже заботливо накатили маинтайнеры дистра. Читай внимательнее.

3.12, Жироватт (ok), 11:14, 13/03/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Читай пункты б) и в)

4.16, aname (ok), 11:18, 13/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Ну и, что мешает это всё сделать мейтейнерам? Отсутствие рук, потому, что есть только тысячи глаз? И те с глаукомой?

4.35, Аноним (35), 12:18, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
б) Debian не source-based в) А это верно https://manpages.debian.org/trixie/openssh-server/sshd_config.5.en.html#GSSAPI "The default is no."

2.5, Аноним (35), 10:59, 13/03/2026 [^] [^^] [^^^] [ответить]	–2 +/–
На Linux нет вирусов! https://www.opennet.dev/openforum/vsluhforumID15/4980.html#5

2.46, Аноним (46), 14:17, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Написано же, что разработчики дистрибутивов заботливо установили для нас этот патч.

1.2, Аноним (35), 10:58, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
> не инициализирует переменные > читает неинициализированную структуру recv_tok из стека > освободить память для некорректного указателя, ссылающегося на случайную область памяти Я люблю язык Си!

2.19, Аноним (19), 11:21, 13/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
В ассемблере все то же самое.

3.37, Соль земли2 (?), 12:19, 13/03/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Вот и пиши на ассемблере.

2.69, Аноним (69), 18:35, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Та дидам хоть кол на голове теши, они так и не поймут зачем раст нужен. В другом топике один даже говорил, мол ну взломают и взломают и что?

3.70, Аноним (70), 19:41, 13/03/2026 [^] [^^] [^^^] [ответить]

+/–

> Та дидам хоть кол на голове теши, они так и не поймут зачем раст нужен.

Да фиг с тем растом.
Пусть бы обмазали свою кучу к̶а̶л̶ кода санитайзерами, включили все флажки в компиляторе.
Используйте Fli-C, TrapC, чего там еще дыpявые придумали.

Ну будет замедление в 1.5-5 раз, по сравнению с нормальными языками, если вам так важно именно дыряху использовать.

> В другом топике один даже говорил, мол ну взломают и взломают и что?

Это скорее всего Иван.
Не обращай внимание он всегда таким был.

1.3, Аноним (4), 10:58, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]

+2 +/–

> В применяемом во многих дистрибутивах Linux патче gssapi.patch, добавляющем в OpenSSH поддержку
> в своё время разработчики OpenSSH отказались принимать в основной состав изменение для поддержки GSSAPI из-за сомнений в его безопасности
> В настоящее время наличие уязвимости подтверждено в Debian и Ubuntu

Хм, а в комментариях мне рассказывали, что маинтайнеры дистров делают аудит кода, и поэтому в линуксячих пакетах невозможно внедрить бэкдоры, в отличие от проклятой проприетари:

https://www.opennet.dev/openforum/vsluhforumID3/139421.html#182

А оно вон как оказыватся: даже если компетентные в вопросах безопасности авторы условного OpenSSH отколнят "бэкдор", то те самые "заслуживающие доверия" маинтайнеры дистров его все равно тебе накатят. 🤦

2.8, Аноним (35), 11:08, 13/03/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Из патча: "It seems to have a generally good security history."

3.9, Аноним (35), 11:09, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
"тысяча глаз"

3.29, Аноним (29), 11:39, 13/03/2026 [^] [^^] [^^^] [ответить]

+/–

> generally good

Ну так патч очень гуд! Правда не указали для кого... но все и так понимают.

> security history

Остались так сказать в секурити хистори.

3.71, Аноним (71), 19:49, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Когда кажется - креститься надо. Видно забыли. )

2.50, Аноним (50), 14:31, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Теперь ты знаешь правду, скорее вернись на десяточку. Там безопасно и корпорация заботится о тебе не в пример этим мантейнерам!

1.6, Аноним (6), 11:00, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У кого-то есть сомнения, что это не бэкдор?

2.28, Аноним (28), 11:38, 13/03/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Думаете авторы OpenSSH добавили бекдор? Кажется просто это низкое качество кода. Это не нормально, когда в одном файле есть две функции с таким именем sshpkt_disconnect() и ssh_packet_disconnect(). Это верный путь к багам.

3.31, Аноним (19), 11:53, 13/03/2026 [^] [^^] [^^^] [ответить]

+1 +/–

Ты какой-то странный...

> Думаете авторы OpenSSH добавили бекдор?

Авторы OpenSSH отказались принимать этот патч. Этот баг - это не их рук дело

> Это не нормально, когда в одном файле есть две функции с таким именем sshpkt_disconnect() и ssh_packet_disconnect(). Это верный путь к багам.

Дак без патча нет бага - значит виноваты авторы патча

3.32, bOOster (ok), 12:11, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
OpenSSH вообще-то из OpenBSD проистекает, а там с качеством кода проблем нет. Теперь об оголтелых олухах которые эти решения портируют в пингвинью систему. sshpkt_disconnect() и ssh_packet_disconnect() - это API различных версий. Обычная практика. Но отдельные придурки, вместо того что-бы привести решение в порядок и к последней версии API ограничиваются включением совместимости с предыдущими, обычно дырявыми или проблемными API. А потом конечно маинтайнеры OpenSSH виноваты.

4.38, Аноним (35), 12:23, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
"Only two remote holes in the default install, in a heck of a long time!" А _disconnect - такие вот названия только путаницу создают. Надо как-то указывать в названии что это разные версии.

5.43, Аноним (19), 13:34, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
> Надо как-то указывать в названии что это разные версии. Кому надо? Автор openssh в openbsd знают какая функция для чего, зачем им самим себе указывать?

5.45, Аноним (45), 13:41, 13/03/2026 [^] [^^] [^^^] [ответить]

+2 +/–

> Надо как-то указывать в названии что это разные версии.

У них и так названия разные.
Надо чтобы мейнтейнры не лезли своим граблями в то, в чем они разбириаются как "свuн
ья в апельсинах"

Такое уже было в CVE-2008-0166
opennet.me/opennews/art.shtml?num=15846
opennet.me/opennews/art.shtml?num=16523

Вкратце:
дебиллиан решил "исправить предупреждения компилятора" и сломал генератор случайных чисел.

6.51, Аноним (19), 14:33, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Не просто сломал, а сделал его предсказуемым и уязвимым к подбору.

6.54, Аноним (35), 14:53, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Получать энтропию для генератора случайных чисел из неинициализированного блока памяти это тоже гениальный ход.

7.59, Аноним (59), 16:27, 13/03/2026 [^] [^^] [^^^] [ответить]

+/–

> Получать энтропию для генератора случайных чисел из неинициализированного блока памяти это тоже гениальный ход.

Это просто СИшка и любители "хакать".
Сколько таких костылей было и будет?

Вон в соседней теме тоже забыли инитнуть переменные.
Но там не фартануло и apparmor оказался дырявым.

8.63, bOOster (ok), 17:42, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Это не СИшка - это отсутствие мозгов ... текст свёрнут, показать

7.68, Аноним (-), 18:34, 13/03/2026 Скрыто ботом-модератором [к модератору]	+/–

4.62, User (??), 17:41, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Opensmtpd смотрит на вас...

3.67, Аноним (67), 18:00, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
> Думаете авторы OpenSSH добавили бекдор? Тео-то? Да как нефиг. Опять небось денег заплатить за электричество для своих погремушек нет, вот и взял подряд от друзей Винни-Пуха. В первый раз что ли?

1.7, q (ok), 11:05, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	–7 +/–
А что, OpenSSH гордость не позволяет что ли принять патч и сопровождать функционал в апстриме? ну если есть претензии к безопасности -- исправьте этот жалкий патч как вам видится правильнее. Но нет. Будем отфутболивать попытки сообщества реализовать востребованный функционал. Короче, в этой истории первопричинная вина прежде всего в политике горделивого OpenSSH.

2.10, Нестор Иванович (?), 11:12, 13/03/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Все правильно сделали

2.11, Аноним (11), 11:13, 13/03/2026 [^] [^^] [^^^] [ответить]

–1 +/–

> OpenSSH отказались принимать в основной состав изменение для поддержки GSSAPI из-за сомнений в его безопасности
> в патче таки нашли бекдор

но виноваты (по мнению васянов) разработчики OpenSSH
Д - логика (с)

Может не нужна вам поддержка GSSAPI, если плебс её даже не может без ошибок написать?

3.30, Аноним (28), 11:39, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
А кто виноват? Разве не авторы кода, содержащего две функции с одинаковым именем, но делающим разное?

2.13, aname (ok), 11:15, 13/03/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Ощущение, будто ты этот патч писал

2.22, Аноним (19), 11:23, 13/03/2026 [^] [^^] [^^^] [ответить]	+11 +/–
Ахахаха, это ваще прикол. - Присылают сторонний патч - Авторы OpenSSH говорят, что фигня какая-то и принимать его не будем - В патче находят баг - Это вы, разрабы OpenSSH, виноваты потому что не приняли его!

3.53, Аноним (53), 14:47, 13/03/2026 [^] [^^] [^^^] [ответить]

+/–

> Это вы, разрабы OpenSSH, виноваты потому что не приняли его!

Конечно виноваты!
Они должны были принять патч, проревьювить его и исправить.
Им что, наплевать на пользователей опынсурса?!
Им наплевать на пользователей их софта?!

Они должны быть благодарны, что их OpenSSH пользуются такие увОжаемые дистры, и нести ответственность!

2.25, Аноним (19), 11:26, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
> Будем отфутболивать попытки сообщества реализовать востребованный функционал. У авторов OpenSSH нет такой востребованности. А у кого есть - те сами делают... с багами.

1.14, Аноним (14), 11:16, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]

–2 +/–

> читает неинициализированную структуру recv_tok из стека
> освободить память для некорректного указателя, ссылающегося на случайную область памяти

"если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить" (c)

Ну что, как п̶о̶п̶л̶а̶в̶а̶л̶и̶ обдумали?

2.20, aname (ok), 11:21, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Что не спасло авторов пингоры, а ранее ещё какого- то модуля ядра от обсёра. Но анон, как всегда, соринку видит строго не в своём глазу.

3.55, Аноним (55), 15:08, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Тем временем в реальности - https://www.opennet.dev/opennews/art.shtml?num=64984

4.57, aname (ok), 16:04, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
> Тем временем в реальности - https://www.opennet.dev/opennews/art.shtml?num=64984 Это - https://www.opennet.dev/opennews/art.shtml?num=64957, значит, не в реальности? Или ты что- то пропустил? Может это что- то было в развитии?

5.58, Аноним (59), 16:25, 13/03/2026 [^] [^^] [^^^] [ответить]

+1 +/–

> Это - https://www.opennet.me/opennews/art.shtml?num=64957, значит, не в реальности? ʼ

В реальности.

> Применяемая в сети доставки контента Cloudflare конфигурация Pingora не позволяла эксплуатировать уязвимости, так как Pingora в CDN не используется в роли ingress-прокси
> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений.

Т.е
- клиенты Cloudflare не пострадали
- возможно пофакапились любители свеженького кода

> Или ты что- то пропустил? Может это что- то было в развитии?

Пф, хамство и переходы на личности?
Не то чтобы я прям сильно удивился, но всё же нарушение правил форума.

5.60, Аноним (55), 17:08, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Держи - https://www.opennet.dev/opennews/art.shtml?num=64964 Это не просто бинго из уязвимостей, а для понимания того, что Си больше не стоит использовать для разработки. От слова совсем. Ну и про переход на личности отлично отметили выше.

5.61, Аноним (61), 17:18, 13/03/2026 Скрыто ботом-модератором [к модератору]	+/–

1.15, Аноним (15), 11:17, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> при этом не инициализирует переменные,

Разработчки сего поделия не слышали про -Wuninitialized ?
Или основа разработки была "и так сойдет?"

Впрочем это не первый случай когда мейнтенер лезет своими корявками в код.
И, к сожалению, не последний.

2.18, aname (ok), 11:19, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
У LLM просто не спрашивали про опции канпелятара.

3.26, Аноним (19), 11:33, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Этому патчу лет больше, чем всем LLM

3.27, Аноним (-), 11:35, 13/03/2026 [^] [^^] [^^^] [ответить]

+/–

> sources.debian.org/patches/openssh/1:7.9p1-10+deb10u2/gssapi.patch/
> Date: Sun, 9 Feb 2014 16:09:48 +0000
> У LLM...

В те далекие и темные времена ни про каких Искусственных Идийотов не знали.
Зато естественных в дебиане всегда с лихвой хватало, даже другим дистрам доставалось!

4.52, Аноним (52), 14:35, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
> Идийотов не знали. А они были. И делали такие патчи.

1.33, Аноним (33), 12:14, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Всего-то не использовать без необходимости. А необходимость только для серверов внутри учреждения.

2.34, Аноним (33), 12:18, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Да и это не факт.

2.39, Аноним (35), 12:25, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
Как к личной впске хостящей мемы с котами подключаться тогда?

3.40, Аноним (35), 12:26, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
А, это про gssapi. Я уж подумала от ssh предлагают отказаться.

1.42, Фонтимос (?), 13:23, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Отличная новость. Пока там во всяких зюзях, фёдорах и шляпах, разных цветов и оттенков, выясняют что да как, кто-то уже успешно все выяснил и получил профит.

2.44, Аноним (45), 13:35, 13/03/2026 [^] [^^] [^^^] [ответить]

+1 +/–

> Date: Sun, 9 Feb 2014 16:09:48 +0000

Этой штуку уже больше десяти лет.
Думаю все кто хотел профит уже получили.

Больше похоже на слив бекдора, который исчерпал себя и/или начал использоваться противником.

1.47, Аноним (52), 14:24, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> В применяемом во многих дистрибутивах Linux патче gssapi.patch У каждого патча есть имя и фамилия.

2.48, Аноним (52), 14:27, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
> разработчики OpenSSH отказались принимать в основной состав изменение для поддержки GSSAPI из-за сомнений в его безопасности

2.49, Аноним (49), 14:27, 13/03/2026 [^] [^^] [^^^] [ответить]

–1 +/–

>> В применяемом во многих дистрибутивах Linux патче gssapi.patch
> У каждого патча есть имя и фамилия.

И что ты ему сделаешь?
Во-1х иди на №№№№!
Во-2х я в другом городе.
за мат извинии (с)

3.65, Аноним (50), 17:51, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
>И что ты ему сделаешь? >Во-2х я в другом городе. Так ему, или тебе?! Определись уже, а то ты путаешься в показаниях.

1.64, jack (??), 17:46, 13/03/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вообще заметил linux в последнее время стал дырявым тазиком с низким качеством кода куда запихиваят модно-молодежные поделия.

2.66, Аноним (50), 17:53, 13/03/2026 [^] [^^] [^^^] [ответить]	+/–
>Вообще заметил linux в последнее время стал дырявым тазиком Отомсти линуксоидам - вернись на виндовс!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: