つみかさね

CVE-2026-39830

Critical(9)

golang.org/x/cryptoのSSHサーバデッドロック CVE-2026-39830:影響範囲と対応方法

公開日: 2026-07-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
golang.org/x/cryptoThe Go Authors< v0.52.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1go list -m golang.org/x/crypto でバージョンを確認する
  2. 2v0.52.0 未満の場合は go get golang.org/x/crypto@v0.52.0 でアップデート
  3. 3go mod tidy を実行して依存関係を更新
  4. 4ビルドと動作確認を実施してリリース

影響対象

golang.org/x/cryptoのSSHパッケージでサーバを実装しているGoアプリ

補足

  • -v0.52.0には本CVEの他にCVE-2026-42508, CVE-2026-39832, CVE-2026-46595も含まれます。まとめて対応できます
  • -SSH サーバ機能を使用していない場合(SSHクライアントのみ)は影響を受けません
CVEGogolangcryptoSSHDoSデッドロック

30秒で判断

対応すべき人:

  • golang.org/x/crypto の SSH パッケージを使用したサーバサイドアプリケーションを運用している
  • Go で SSH サーバを実装しているサービスがある

対応不要な人:

  • golang.org/x/crypto を使用していない(またはSSHパッケージを使用していない)
  • すでに v0.52.0 以上にアップデート済み
  • SSH クライアント機能のみ使用しており、SSH サーバを実装していない

確認コマンド:

# 依存関係のバージョン確認
go list -m golang.org/x/crypto

# go.sumから確認
grep "golang.org/x/crypto" go.sum | head -5

概要

golang.org/x/crypto は Go の公式拡張暗号ライブラリで、SSH クライアント・サーバの実装を含みます。CVE-2026-39830 は SSH サーバ側の実装に存在する脆弱性で、クライアントが予期しないレスポンスを送信した場合に、サーバ内部でデッドロックが発生し、以後の接続処理が完全に停止します。

デッドロックはゴルーチン間のチャンネル操作の競合により引き起こされるため、再起動しない限りサービスが回復しません。悪意あるクライアントが意図的に細工したSSHハンドシェイクを送信することで、SSHサーバをサービス停止状態に陥らせることが可能です。

同じ v0.52.0 のリリースには関連する別の脆弱性(CVE-2026-42508, CVE-2026-39832, CVE-2026-46595)も含まれており、まとめて対応することを強く推奨します。


CVSSベクトル(推定)

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityNone
IntegrityNone
AvailabilityHigh
深刻度CRITICAL(GHSAによる分類)

CVSS数値スコアはNVDによる正式評価待ち(pkg.go.dev vuln ID: GO-2026-5017)


影響を受けるソフトウェア

製品影響バージョン修正バージョン
golang.org/x/cryptov0.52.0 未満v0.52.0

修正バージョンと対応手順

修正版: v0.52.0

# アップデート
go get golang.org/x/crypto@v0.52.0

# go.mod / go.sum の更新確認
go mod tidy

# ビルドして動作確認
go build ./...

回避策(アップデートが困難な場合):

  • SSHポートへのアクセスを信頼できるクライアントIPに制限する(ファイアウォール、Security Group等)
  • SSH サーバ機能を不要な場合は一時的に無効化する

関連リンク


データソース: GitHub Advisory Database (GHSA), pkg.go.dev
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。