Im Telnetd-Server der GNU InetUtils-Suite wurde eine Sicherheitslücke entdeckt. Diese ermöglicht die Anmeldung als beliebiger Benutzer, einschließlich Root, ohne Passwortabfrage. Eine CVE-Kennung wurde noch nicht vergeben. Die Sicherheitslücke besteht seit InetUtils Version 1.9.3 (2015) und ist in der aktuellen Version 2.7.0 noch nicht behoben. Ein Fix ist in den Patches (1, 2) verfügbar.
Das Problem entsteht dadurch, dass der telnetd-Prozess zum Überprüfen des Passworts das Dienstprogramm "/usr/bin/login" aufruft und dabei den vom Client beim Verbindungsaufbau angegebenen Benutzernamen als Argument übergibt. ServerDas Dienstprogramm „login“ unterstützt die Option „-f“, die eine Anmeldung ohne Authentifizierung ermöglicht (diese Option ist für Benutzer gedacht, die bereits authentifiziert sind). Durch Ersetzen des Benutzernamens durch die Option „-f“ können Sie sich also ohne Passwortabfrage anmelden.
Bei einer normalen Verbindung kann kein Benutzername wie „-f root“ verwendet werden. Telnet bietet jedoch einen automatischen Verbindungsmodus, der mit der Option „-a“ aktiviert wird. In diesem Modus wird der Benutzername nicht aus der Befehlszeile übernommen, sondern über die Umgebungsvariable USER übergeben. Beim Aufruf des Anmeldeprogramms wird der Wert dieser Umgebungsvariablen ohne weitere Prüfung und ohne Maskierung von Sonderzeichen eingesetzt. Um sich als Root-Benutzer zu verbinden, setzen Sie daher einfach die Umgebungsvariable USER auf „-f root“ und stellen Sie mit der Option „-a“ eine Verbindung zum Telnet-Server her: $ USER='-f root' telnet -a Servername
Die Änderung, die die Sicherheitslücke verursachte, wurde im März 2015 in den telnetd-Code aufgenommen und behob ein Problem, das die Ermittlung des Benutzernamens im Autologin-Modus ohne Kerberos-Authentifizierung verhinderte. Als Lösung wurde die Möglichkeit hinzugefügt, den Benutzernamen für den Autologin-Modus über eine Umgebungsvariable zu übergeben. Die Validierung des Benutzernamens aus der Umgebungsvariablen wurde jedoch vergessen.
Source: opennet.ru
