CVE-2026-42508

Critical(8.5)

golang.org/x/crypto knownhosts認証バイパスCVE-2026-42508：影響範囲と対応方法

公開日: 2026-06-27データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
golang.org/x/crypto/ssh/knownhosts	Google / Go Team	< v0.52.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

1go.modを確認し、golang.org/x/cryptoのバージョンを特定する
2go get golang.org/x/crypto@v0.52.0 を実行する
3go mod tidy を実行する
4アプリケーションを再ビルドしてデプロイする
5@revokedエントリが正しく機能しているか、テスト環境で確認する

影響対象

SSH接続機能を持つGoアプリケーション開発者・運用者

補足

-v0.52.0では今回の6件の脆弱性がすべて修正されます
-@revokedで失効させた鍵が実際に拒否されているかどうかを改めて確認することを推奨します

CVEgolangSSHgolang.org/x/cryptoknownhosts認証バイパス

30秒で判断

対応すべき人:

golang.org/x/crypto v0.51.0以前を使用するGoアプリケーションの開発者・運用者
golang.org/x/crypto/ssh/knownhostsパッケージを使用してSSH接続を行うアプリケーション

対応不要な人:

golang.org/x/crypto v0.52.0以降を使用している
SSHのknownhosts機能を使用していない

確認コマンド:

# バージョン確認
grep "golang.org/x/crypto" go.mod
# knownhostsパッケージの使用確認
grep -r "knownhosts" --include="*.go" .

概要

golang.org/x/crypto/ssh/knownhostsパッケージが、known_hostsファイル内の@revokedエントリのステータスを適切に強制しない脆弱性があります。

本来、@revokedマークされた鍵は接続を拒否すべきですが、この脆弱性により失効済みの鍵での認証が通過してしまう可能性があります。侵害されたまたは失効させた鍵でのSSH認証バイパスに悪用される恐れがあります。

SSH鍵管理において@revokedによる失効管理を行っている環境では、セキュリティポリシーが意図せず回避されます。

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
golang.org/x/crypto/ssh/knownhosts	Google / Go Team	v0.51.0以前

修正バージョンと回避策

推奨対応: golang.org/x/crypto v0.52.0へのアップデート。

go get golang.org/x/crypto@v0.52.0
go mod tidy

関連リンク

データソース: GitHub Advisory Database, NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-39831golang.org/x/crypto SSH FIDO/U2F物理確認バイパスCVSS 8.5 CVE-2026-39832golang.org/x/crypto/ssh/agent 制約フォワーディング不備CVSS 8

参考リンク

GHSA:https://github.com/advisories/GHSA-5cgq-3rg8-m6cv

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42508

Go Issue:https://go.dev/issue/79568

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。