OpenSSHのGSSAPI Key Exchange パッチに脆弱性(CVE-2026-3497)

セキュリティニュース

投稿日時: 更新日時:

OpenSSHのGSSAPI Key Exchange パッチに脆弱性(CVE-2026-3497)

2026年3月12日、CanonicalのMarc Deslauriers氏はoss-securityで、複数のLinuxディストリビューションがOpenSSHに追加適用しているGSSAPI Key Exchangeパッチにセキュリティ問題があると公表しました。

概要

この問題にはCVE-2026-3497が割り当てられており、Ubuntu、Debianなどが追跡・修正を進めています。重要なのは、この脆弱性はOpenSSH上流そのものではなく、各ディストリが独自に載せているGSSAPI関連の差分パッチに起因する点です。

公開された説明によると、問題の本質は、GSSAPI KEXのサーバー側コードで本来プロセスを終了させるべき場面で、終了しない関数である sshpkt_disconnect() が使われていたことです。その結果、エラー処理の分岐から本来進むべきでない後続処理へフォールスルーし、初期化されていない recv_tok 変数を参照してしまいます。さらに、その内容が特権モニタープロセスへIPCで送られ、gss_release_buffer() に渡されることで、不正なポインタに対する free() が発生しうると説明されています。

修正状況

CanonicalはUbuntu向けにUSN-8090-1およびUSN-8090-2を公開しており、OpenSSHの更新で本件を修正しています。たとえばUbuntu 20.04 LTS向けには openssh-client と openssh-server の 1:8.2p1-4ubuntu0.13+esm1 が修正版として案内されています。DebianのセキュリティトラッカーでもCVE-2026-3497が登録され、修正追跡が進められています。

ベンダー側の説明では、根本対策はエラー時に ssh_packet_disconnect() を使う必要があります

影響

oss-securityの公表では、この不具合は単一の細工されたSSHパケット、およそ300バイト程度で、認証や資格情報なしに到達可能だとされています。確認された影響としては、事前認証段階での未初期化ポインタ参照、ヒープ破壊、子プロセスの確実なクラッシュ、x86_64環境でのSIGSEGVやSIGABRT、最大127KBのヒープデータが特権モニタへIPC経由で渡る現象などが挙げられています。もっとも、結果はコンパイラ、最適化、ハードニング設定に強く依存するとされており、CanonicalがCVEレコードに付けたCVSS v4.0基本値は6.9で、NVD側の分析はまだ未確定です。