CVE-2026-7598 no libssh2: guia definitivo para proteger seu Ubuntu

 

A vulnerabilidade CVE-2026-7598 afeta o libssh2 no Ubuntu. Aprenda a verificar se seu sistema está exposto, aplique correção com script automatizado, use mitigação alternativa e garanta a segurança do seu SSH com guia completo e prático para administradores Linux.

No dia 26 de maio de 2026, a Canonical emitiu o aviso de segurança USN-8309-1, alertando para uma falha crítica na biblioteca libssh2 — componente essencial para conexões SSH seguras. 

Esta vulnerabilidade, catalogada como CVE-2026-7598, permite que um atacante remoto cause negação de serviço (DoS) ou até mesmo execute código arbitrário em sistemas que utilizam versões afetadas da biblioteca.

Embora a data da notícia seja relevante, o verdadeiro valor deste conteúdo está na sua utilidade a longo prazo. A seguir, você encontrará instruções práticas para verificar, corrigir e mitigar esta falha — comandos e scripts que continuarão funcionando independentemente de quando você estiver lendo este artigo.

Como verificar se você está vulnerável (Ubuntu)

A vulnerabilidade atinge as versões do libssh2 até a 1.11.1. Para sistemas Ubuntu, as versões corrigidas são:

Versão do Ubuntu                          Versão corrigida do libssh2

26.04 LTS                                    1.11.1-1ubuntu0.26.04.1

25.10                                            1.11.1-1ubuntu0.25.10.1

24.04 LTS                                    1.11.0-4.1ubuntu0.24.04.1

Para verificar a versão instalada em seu sistema, execute:

bash

dpkg -l | grep libssh2

Ou, para uma verificação mais detalhada:

bash

apt policy libssh2-1t64

Se a versão exibida for anterior à listada na tabela, seu sistema está vulnerável.

Para uma verificação mais abrangente em todos os pacotes relacionados ao libssh2, utilize:

bash

dpkg -l | grep -E "libssh2" | awk '{print $2 " " $3}'

Script de automação para aplicar a correção

Crie um script bash (por exemplo, fix-libssh2.sh) para automatizar a atualização segura do libssh2:

bash

#!/bin/bash
# Script para corrigir a vulnerabilidade CVE-2026-7598 no libssh2 (Ubuntu)

set -e

echo "=== Correção automática para CVE-2026-7598 ==="
echo "Data da execução: $(date)"

# Verifica se o usuário tem privilégios de root
if [ "$EUID" -ne 0 ]; then
    echo "Por favor, execute como root (use sudo)."
    exit 1
fi

# Identifica a versão do Ubuntu
UBUNTU_VERSION=$(lsb_release -rs)

echo "Versão do Ubuntu detectada: $UBUNTU_VERSION"

# Atualiza a lista de pacotes
apt update

# Instala a atualização de segurança
case $UBUNTU_VERSION in
    24.04)
        apt install --only-upgrade libssh2-1t64=1.11.0-4.1ubuntu0.24.04.1 -y
        ;;
    25.10)
        apt install --only-upgrade libssh2-1t64=1.11.1-1ubuntu0.25.10.1 -y
        ;;
    26.04)
        apt install --only-upgrade libssh2-1t64=1.11.1-1ubuntu0.26.04.1 -y
        ;;
    *)
        echo "Versão do Ubuntu não reconhecida ou não suportada para correção automática."
        echo "Tentando atualização padrão: apt upgrade libssh2-1t64"
        apt upgrade libssh2-1t64 -y
        ;;
esac

# Verifica se a atualização foi bem-sucedida
if [ $? -eq 0 ]; then
    echo "Correção aplicada com sucesso!"
    echo "Versão atual do libssh2:"
    dpkg -l | grep libssh2
else
    echo "Falha ao aplicar a correção. Verifique manualmente."
    exit 1
fi

echo "=== Processo concluído ==="

Como usar:

bash

chmod +x fix-libssh2.sh
sudo ./fix-libssh2.sh

Produto recomendado: Segurança em Servidores Linux: Ataque e Defesa

Se você administra servidores Linux, compreender os fundamentos da segurança ofensiva e defensiva é tão importante quanto aplicar correções pontuais. O livro "Segurança em Servidores Linux: Ataque e Defesa", de Chris Binnie (Novatec), oferece:

• Técnicas práticas para blindar seu ambiente Linux;

• Abordagem de ataque e defesa, ideal para administradores;

• Conteúdo em português, focado em cenários reais.

🔗 Adquira o livro na Amazon e fortaleça suas defesas de forma definitiva.

Segurança em Servidores Linux: Ataque e Defesa (anúncio) --  > https://amzn.to/3PFKb4x

Por que este livro é importante? Ele capacita você a entender o porquê de vulnerabilidades como o CVE-2026-7598 existirem e como estruturar sua infraestrutura para evitá-las proativamente.

Eu ganho uma comissão quando você faz uma compra.

Mitigação alternativa caso não possa atualizar agora

Se você não puder aplicar a correção imediatamente, utilize as seguintes medidas para reduzir o risco:

Restringir autenticação por senha via SSH

Edite o arquivo /etc/ssh/sshd_config e defina:

bash

PasswordAuthentication no

Em seguida, recarregue o serviço:

bash

sudo systemctl reload sshd

Esta medida força o uso de chaves SSH, eliminando o vetor de ataque relacionado ao campo de senha.

Limitar acesso via iptables

Para permitir SSH apenas de IPs confiáveis (exemplo: rede interna 192.168.1.0/24):

bash

sudo iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

Para persistir as regras:

bash

sudo apt install iptables-persistent
sudo netfilter-persistent save

AppArmor

Crie um perfil restritivo para o libssh2 (exemplo simplificado). Edite o arquivo /etc/apparmor.d/usr.bin.ssh-client adicionando:

bash

/usr/lib/*/libssh2.so.* {
    deny /tmp/* rw,
    deny /home/*/.ssh/** r,
}

Ative o perfil:

bash

sudo apparmor_parser -r /etc/apparmor.d/usr.bin.ssh-client

Proxy reverso com restrição

Em ambientes corporativos, utilize um proxy reverso (como HAProxy ou Nginx) para filtrar tráfego SSH por regras de negócio antes que ele atinja o servidor final.