Russh, een Rust SSH client en serverbibliotheek, vertoont een ernstige integer overflow kwetsbaarheid (CVE-2025-54804) in versies 0.54.0 en lager. Deze kwetsbaarheid kan ervoor zorgen dat een kwaadaardige client een server laat crashen door misbruik van het SSH protocol.
De tekortkoming ligt in het ontbreken van een overflow check bij het bijstellen van vensters waardoor een integer overflow kan optreden. Dit probleem is opgelost in versie 0.54.1.
Overzicht
De integer overflow doet zich voor wanneer het bericht voor vensterbijstelling van het SSH-protocol wordt gebruikt om de vrije ruimte in de ontvangbuffer van de andere kant bij te houden. De huidige implementatie voegt de waarde uit het bericht toe aan een interne statuswaarde, waardoor een overflow kan optreden.
Aanbevelingen
- Update onmiddellijk naar Russh versie 0.54.1 om dit probleem op te lossen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54804?
Het betreft een integer overflow in de Russh bibliotheek die ervoor kan zorgen dat servers crashen.
Welke systemen zijn kwetsbaar voor CVE-2025-54804?
Alle systemen die gebruikmaken van Russh versie 0.54.0 en lager zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het probleem is opgelost in versie 0.54.1 van Russh.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de server laten crashen door een overflow te veroorzaken.
