'n Kwetsbaarheid is in die telnetd-bediener van die GNU InetUtils-suite ontdek. Hierdie kwesbaarheid laat verbinding toe as enige gebruiker, insluitend root, sonder wagwoordverifikasie. 'n CVE-identifiseerder is nog nie toegeken nie. Die kwesbaarheid is teenwoordig sedert InetUtils weergawe 1.9.3 (2015) en bly ongepatch in die huidige weergawe 2.7.0. 'n Regstelling is beskikbaar in patches (1, 2).
Die probleem word veroorsaak deur die feit dat die telnetd-proses die "/usr/bin/login"-hulpprogram aanroep om die wagwoord na te gaan, en die gebruikersnaam wat deur die kliënt gespesifiseer is wanneer daar aan die program gekoppel word, as 'n argument deurgee. bedienerDie "login"-hulpprogram ondersteun die "-f"-opsie, wat aanmelding sonder verifikasie toelaat (hierdie opsie is bedoel om gebruik te word wanneer die gebruiker reeds geverifieer is). Deur die "-f"-opsie in die gebruikersnaam te vervang, kan jy dus sonder wagwoordverifikasie koppel.
Met 'n normale verbinding kan jy nie 'n gebruikersnaam soos "-f root" gebruik nie, maar Telnet het 'n outomatiese verbindingsmodus wat deur die "-a" opsie geaktiveer word. In hierdie modus word die gebruikersnaam nie van die opdragreël geneem nie, maar deur die USER-omgewingsveranderlike deurgegee. Toe die aanmeldhulpprogram geroep is, is die waarde van hierdie omgewingsveranderlike vervang sonder bykomende kontrole en sonder om spesiale karakters te ontsnap. Om dus as die wortelgebruiker te koppel, stel eenvoudig die USER-omgewingsveranderlike na "-f root" en koppel aan die Telnet-bediener met behulp van die "-a" opsie: $ USER='-f root' telnet -a bedienernaam
Die verandering wat die kwesbaarheid meegebring het, is in Maart 2015 by die telnetd-kode gevoeg en het 'n probleem aangespreek wat verhoed het dat die gebruikersnaam in outo-aanmeldmodus sonder Kerberos-verifikasie bepaal kon word. As 'n oplossing is ondersteuning vir die deurgee van die gebruikersnaam vir outo-aanmeldmodus via 'n omgewingsveranderlike bygevoeg, maar 'n valideringstoets vir die gebruikersnaam vanaf die omgewingsveranderlike is vergeet.
Bron: opennet.ru
