30秒で判断
対応すべき人:
- golang.org/x/crypto v0.51.0以前を使用するGoアプリケーション開発者・運用者
- SSHキー認証にFIDO/U2Fハードウェアセキュリティキーを使用している環境
- SSHクライアント機能を提供するGoアプリケーション
対応不要な人:
- golang.org/x/crypto v0.52.0以降を使用している
- golang.org/x/cryptoのSSHパッケージを使用していない
- パスワード認証のみを使用しており、SSHキー認証を使用していない
確認コマンド:
# go.modでのバージョン確認
grep "golang.org/x/crypto" go.mod
# go.sumでも確認
grep "golang.org/x/crypto" go.sum | head -5
概要
Goの暗号ライブラリgolang.org/x/cryptoのSSH実装(v0.51.0以前)に、FIDO/U2Fセキュリティキーの物理存在確認チェック(User Presence Check)をバイパスできる脆弱性が存在します。
本脆弱性により、ハードウェアセキュリティキーのタッチ操作による物理確認という追加のセキュリティ層が機能しない可能性があります。FIDO/U2FベースのSSH認証が想定する「物理的なキーの存在」という前提が崩れることになります。
本日は同ライブラリのSSHパッケージに対して複数の重要な脆弱性が一括公開されています(CVE-2026-39828/39831/39832/39835/42508/46598)。
CVSSベクトル(推定)
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector (AV) | Network | ネットワーク経由 |
| Attack Complexity (AC) | Low | 攻撃の複雑さは低い |
| Privileges Required (PR) | Low | 一部の権限が必要 |
| User Interaction (UI) | None | ユーザー操作不要 |
| Scope (S) | Changed | 認証バイパスによる影響拡大 |
※ GHSA Criticalとして公開。NVD CVSSスコアは参考値。
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| golang.org/x/crypto/ssh | Google / Go Team | v0.51.0以前 |
修正バージョンと回避策
推奨対応: golang.org/x/crypto v0.52.0へのアップデート。
go get golang.org/x/crypto@v0.52.0
go mod tidy
本バージョンでは、今回公開された6件の脆弱性すべてが修正されます。
関連リンク
データソース: GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。