Критические уязвимости OpenSSH подвергают миллионы серверов атакам типа "человек посередине" и отказа в обслуживании

Две новые уязвимости в OpenSSH, CVE-2025-26465 и CVE-2025-26466, представляют серьезную угрозу для миллионов серверов, подключенных к Интернету. Эти недостатки могут позволить злоумышленникам осуществлять атаки типа "человек посередине" (MitM) или запускать атаки типа "отказ в обслуживании" (DoS), потенциально компрометируя конфиденциальные данные и нарушая работу служб.

Первая уязвимость, CVE-2025-26465, затрагивает клиенты OpenSSH, когда включена опция 'VerifyHostKeyDNS'. Вторая, CVE-2025-26466, может быть использована независимо от этой настройки. Злоумышленник может использовать эти уязвимости без взаимодействия с пользователем, даже при отсутствии записей SSHFP.

Поскольку во всем мире OpenSSH используется примерно на 33 миллионах серверов, потенциальное воздействие является существенным. Успешное использование может привести к перехвату и манипулированию данными, а также к DoS-атакам, которые потребляют ресурсы сервера. Пользователям настоятельно рекомендуется ознакомиться с рекомендациями по безопасности и принять рекомендованные меры по смягчению последствий для защиты своих систем.