Sicherheit & Cyberabwehr

Kritische libssh2-Lücke wird aktiv ausgenutzt: Was jetzt zu tun ist

08.07.2026 2 Min. Lesezeit
Alle Artikel

Eine kritische Sicherheitslücke in der weitverbreiteten Bibliothek libssh2 wird bereits aktiv ausgenutzt. Ein Exploit, der Ende Juni 2026 öffentlich auftauchte, ermöglicht es Angreifern, beliebigen Code auf betroffenen Systemen auszuführen. Betroffen sind zahlreiche Projekte, darunter curl, PHP und libgit2.

Was ist die Schwachstelle?

Die Lücke, registriert als CVE-2026-55200 (CVSS 9.2), betrifft libssh2 bis einschließlich Version 1.11.1. Es handelt sich um einen "Out-of-Bounds Write": Weil das Feld packet_length nicht auf einen Maximalwert begrenzt wird, können Angreifer manipulierte SSH-Pakete mit übermäßig großen Werten senden. Das beschädigt den Heap-Speicher und öffnet die Tür für Remote-Code-Ausführung.

Der entscheidende Angriffsvektor: Ein Opfer muss mit seiner SSH-Client-Software eine Verbindung zu einem vom Angreifer kontrollierten Server herstellen. Dieser Server sendet dann präparierte Antworten und kann so Schadcode auf dem Client ausführen. Das ist besonders brisant, weil libssh2 in sehr vielen Projekten steckt.

Woher kommt der Exploit?

Ein anonymer Forscher unter dem Alias "bikini" veröffentlichte Ende Juni ein GitHub-Repository namens "bikini/exploitarium" mit 26 Proof-of-Concepts für bisher nicht gemeldete Schwachstellen. Der Forscher meldete keine der Lücken vorab an die Hersteller. Das Repository wurde inzwischen wieder entfernt, die Exploits kursierten jedoch bereits und werden laut The Register aktiv eingesetzt.

Neben CVE-2026-55200 wird auch CVE-2026-58053 (CVSS 9.4) ausgenutzt, eine Schwachstelle im Gitea act_runner auf dem Docker-Backend. Sie ermöglicht einen Container-Ausbruch mit Root-Rechten.

Was kannst du jetzt tun?

Ein offizielles Release für libssh2 steht noch aus, aber viele Linux-Distributoren haben bereits Pakete mit dem entsprechenden Fix aus Commit 7acf3df bereitgestellt. Bis ein stabiles Release verfügbar ist, helfen folgende Maßnahmen:

  • Ausgehende SSH-Verbindungen nur zu vertrauenswürdigen, bekannten Servern erlauben
  • Hostschlüssel bei jeder Verbindung konsequent prüfen
  • Ungewöhnlich große Pakete und unerklärliche Client-Abstürze als Warnsignal werten
  • Für den Gitea act_runner auf eine Version nach 0.262.0 aktualisieren