30秒で判断
対応すべき人:
golang.org/x/cryptoの SSH パッケージを使用したサーバサイドアプリケーションを運用している- Go で SSH サーバを実装しているサービスがある
対応不要な人:
golang.org/x/cryptoを使用していない(またはSSHパッケージを使用していない)- すでに
v0.52.0以上にアップデート済み - SSH クライアント機能のみ使用しており、SSH サーバを実装していない
確認コマンド:
# 依存関係のバージョン確認
go list -m golang.org/x/crypto
# go.sumから確認
grep "golang.org/x/crypto" go.sum | head -5
概要
golang.org/x/crypto は Go の公式拡張暗号ライブラリで、SSH クライアント・サーバの実装を含みます。CVE-2026-39830 は SSH サーバ側の実装に存在する脆弱性で、クライアントが予期しないレスポンスを送信した場合に、サーバ内部でデッドロックが発生し、以後の接続処理が完全に停止します。
デッドロックはゴルーチン間のチャンネル操作の競合により引き起こされるため、再起動しない限りサービスが回復しません。悪意あるクライアントが意図的に細工したSSHハンドシェイクを送信することで、SSHサーバをサービス停止状態に陥らせることが可能です。
同じ v0.52.0 のリリースには関連する別の脆弱性(CVE-2026-42508, CVE-2026-39832, CVE-2026-46595)も含まれており、まとめて対応することを強く推奨します。
CVSSベクトル(推定)
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Scope | Unchanged |
| Confidentiality | None |
| Integrity | None |
| Availability | High |
| 深刻度 | CRITICAL(GHSAによる分類) |
CVSS数値スコアはNVDによる正式評価待ち(pkg.go.dev vuln ID: GO-2026-5017)
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| golang.org/x/crypto | v0.52.0 未満 | v0.52.0 |
修正バージョンと対応手順
修正版: v0.52.0
# アップデート
go get golang.org/x/crypto@v0.52.0
# go.mod / go.sum の更新確認
go mod tidy
# ビルドして動作確認
go build ./...
回避策(アップデートが困難な場合):
- SSHポートへのアクセスを信頼できるクライアントIPに制限する(ファイアウォール、Security Group等)
- SSH サーバ機能を不要な場合は一時的に無効化する
関連リンク
- GHSA-vgwf-h737-ff37
- Go Issue #79564
- pkg.go.dev/vuln/GO-2026-5017
- NVD: CVE-2026-39830
- golang-announce: a082jnz-LvI
データソース: GitHub Advisory Database (GHSA), pkg.go.dev
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
