03/12/2026にOpenSSHの脆弱性(Important: CVE-2026-3497)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
- OpenSSHの脆弱性(Moderate: CVE-2025-32728)と新バージョン(OpenSSH 10.0p2)
- OpenSSHの脆弱性(Moderate: CVE-2025-26465, CVE-2025-26466)と新バージョン(OpenSSH 9.9p2)
- OpenSSHの脆弱性(Moderate: CVE-2024-6409)
- OpenSSHの脆弱性(regreSSHion: CVE-2024-6387)と9.8リリース
- 【悪用に条件あり】OpenSSH(ssh-agent)のリモートコード実行の脆弱性(Important: CVE-2023-38408)とOpenSSH 9.3p2
- OpenSSHの脆弱性(CVE-2023-28531)と新バージョン(OpenSSH 9.3)
CVSS/プライオリティ
- 一次情報源
- CVE-2026-3497
- Priority/CVSS SCORE
- NVD(CVSSv4): Not disclosed
- NVD(CVSSv31): Not disclosed
- Red Hat(CVSSv4): Not disclosed
- Red Hat(CVSSv31): 8.2 : Important
- CVSS Vector
- NVD(CVSSv4): Not disclosed
- NVD(CVSSv31): Not disclosed
- Red Hat(CVSSv4): Not disclosed
- Red Hat(CVSSv31): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H
- EPSS Score/Percentile
- DATE(JST): 2026-03-16
- EPSS: 0.000650000
- Percentile: 0.199790000
- Priority/CVSS SCORE
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://www.cve.org/CVERecord?id=CVE-2026-3497
- OpenSSH GSSAPI (Generic Security Service Application Program Interface)パッチに含まれるコードによる情報漏洩又はDoS
- 複数のLinuxディストリビューションに含まれる、OpenSSH GSSAPI差分パッチに脆弱性が見つかりました。リモートの攻撃者が鍵交換プロセスで意図しないGSSAPIメッセージタイプを送ることにより、この脆弱性を悪用できます。この問題はsshpkt_disconnect()関数で、エラーが呼び出された際にプロセスを確実に終了しなかったため、初期化されていない接続変数を用いたプログラムの実行が可能になります。この初期化されていない変数へのアクセスは定義されていないふるまいを引き起こし、情報漏洩又はDoSを引き起こす可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
