CVE-2026-42189

Nome do Software Vulnerável e Versões Afetadas Russh versões anteriores a 0.60.1

Descrição Um problema de negação de serviço (DoS) de pré-autenticação existe no manipulador de autenticação interativa de teclado do servidor. Um cliente malicioso pode travar qualquer servidor baseado nesta biblioteca que implemente a autenticação interativa de teclado (como para 2FA/TOTP) enviando um único pacote malformado, sem a necessidade de credenciais. O problema ocorre na função read userauth info response() em russh/src/server/encrypted.rs, onde o servidor decodifica uma contagem u32 do SSH MSG USERAUTH INFO RESPONSE do cliente e a passa diretamente para Vec::with capacity(). Um invasor pode fornecer um valor muito alto para essa contagem, forçando o servidor a tentar uma alocação de memória massiva (por exemplo, 6,4 GB), o que leva a um travamento por falta de memória (Out-of-Memory - OOM).

Recomendações Atualize para a versão 0.60.1. Como medida paliativa temporária, restrinja o uso da implementação Handler::auth keyboard interactive caso ela retorne Auth::Partial até que a atualização seja aplicada.