- Fünf neue CVEs treffen OpenSSH: scp setuid/setgid, Command Execution, ECDSA-Bypass, Proxy-Mode-Multiplex und authorized_keys principals.
- CVE-2026-35385 bis CVE-2026-35414 — SUSE und Red Hat haben Patches in den Mai-2026-Update-Zyklus geschoben.
- Betroffen sind ALLE Server, die scp, ECDSA-Hostkeys oder ProxyJump produktiv nutzen.
- Update-Kommando: apt update && apt upgrade openssh-server openssh-client (oder dnf/zypper).
Wenn du SSH-Server betreibst, hast du JETZT Hausaufgaben. OpenSSH hat im Mai-Zyklus fünf Sicherheitslücken nachgepatcht, die sich über die Kernfunktionen scp, ECDSA-Authentifizierung, Proxy-Multiplexing und authorized_keys-principals ziehen. Keine einzelne Mega-CVE — aber genug, um deinen Patch-Tuesday durcheinanderzuwirbeln.
Die fünf Lücken im Überblick
CVE-2026-35385 trifft scp-Verhalten rund um setuid und setgid Bits. CVE-2026-35386 ist ein Command-Execution-Flaw mit hohem Eskalationspotenzial. CVE-2026-35387 macht die Enforcement von PubkeyAcceptedAlgorithms und HostbasedAcceptedAlgorithms für ECDSA-Schlüssel unvollständig — Angreifer können hier mit alten ECDSA-Keys vorbei.
CVE-2026-35388 erwischt die Connection-Multiplexing-Logik im Proxy-Mode. CVE-2026-35414 versteht die authorized_keys principals-Option falsch und kann Zugriff durchwinken, wo er gesperrt sein sollte.
Wer ist betroffen?
Praktisch JEDER, der OpenSSH 9.x bis 10.x produktiv einsetzt — das schließt Ubuntu 24.04 LTS, Debian 13 Trixie, RHEL 9/10, openSUSE und alle Container-Images mit standard sshd ein. Wenn du scp in Backup-Skripten verwendest, bist du Top-Priorität.
So patchst du JETZT
Debian/Ubuntu: sudo apt update && sudo apt install --only-upgrade openssh-server openssh-client. Anschließend sudo systemctl restart sshd. RHEL/Rocky: sudo dnf update openssh-server. openSUSE: sudo zypper patch.
Server, die ECDSA-Hostkeys nutzen, solltest du nach dem Patch in /etc/ssh/sshd_config mit PubkeyAcceptedAlgorithms einschränken — und alte ECDSA-User-Keys per ssh-keygen -lf auditen.
Wenn du JETZT nicht patchen kannst
Minimal-Härtung: HostKey auf reine Ed25519 stellen, scp durch sftp ersetzen, ProxyJump nur für vertrauenswürdige Bastions erlauben. Aber das ist nur ein Pflaster — ohne Patch bleibt die Lücke offen.
Häufige Fragen
Welche OpenSSH-Versionen sind betroffen?
Alle OpenSSH-Versionen 9.x und 10.x bis Mai 2026. Die genauen Patch-Versionen je Distribution stehen in den SUSE-, Red-Hat- und Debian-Security-Advisories. Update auf den aktuellen Distribution-Patch ist die schnellste Lösung.
Muss ich SSH-Keys neu generieren?
Nicht generell. Nur wenn du bisher ECDSA-Hostkeys verwendet hast und unsicher bist, ob CVE-2026-35387 in deiner Umgebung ausnutzbar war, lohnt sich der Wechsel auf Ed25519. Ansonsten reicht der Patch.
Reicht ein Distribution-Update oder muss ich OpenSSH manuell bauen?
Distribution-Update reicht in 99 Prozent der Fälle. SUSE, Red Hat und Debian haben die Fixes in die regulären Mai-2026-Pakete zurückportiert.
Was mache ich mit alten Backup-Skripten, die scp nutzen?
Sofortmaßnahme: Skripte auf sftp umstellen oder rsync over ssh verwenden. Beides ist sicherer und seit Jahren der empfohlene Standard.