Εντοπίστηκε ένα κενό ασφαλείας στον διακομιστή telnetd από τη σουίτα GNU InetUtils. Αυτό το κενό ασφαλείας επιτρέπει τη σύνδεση με οποιονδήποτε χρήστη, συμπεριλαμβανομένου του root, χωρίς επαλήθευση κωδικού πρόσβασης. Δεν έχει ακόμη εκχωρηθεί αναγνωριστικό CVE. Το κενό ασφαλείας υπάρχει από την έκδοση 1.9.3 (2015) του InetUtils και παραμένει μη ενημερωμένο στην τρέχουσα έκδοση 2.7.0. Μια επιδιόρθωση είναι διαθέσιμη στις ενημερώσεις κώδικα (1, 2).
Το πρόβλημα προκαλείται από το γεγονός ότι για να ελέγξει τον κωδικό πρόσβασης, η διεργασία telnetd καλεί το βοηθητικό πρόγραμμα "/usr/bin/login", περνώντας ως όρισμα το όνομα χρήστη που καθορίζεται από τον πελάτη κατά τη σύνδεση. υπηρέτηςΤο βοηθητικό πρόγραμμα "login" υποστηρίζει την επιλογή "-f", η οποία επιτρέπει τη σύνδεση χωρίς έλεγχο ταυτότητας (αυτή η επιλογή προορίζεται για χρήση όταν ο χρήστης έχει ήδη ελεγχθεί). Επομένως, αντικαθιστώντας την επιλογή "-f" στο όνομα χρήστη, μπορείτε να συνδεθείτε χωρίς επαλήθευση κωδικού πρόσβασης.
Με μια κανονική σύνδεση, δεν μπορείτε να χρησιμοποιήσετε ένα όνομα χρήστη όπως "-f root", αλλά το Telnet διαθέτει μια λειτουργία αυτόματης σύνδεσης που ενεργοποιείται από την επιλογή "-a". Σε αυτήν τη λειτουργία, το όνομα χρήστη δεν λαμβάνεται από τη γραμμή εντολών, αλλά διαβιβάζεται μέσω της μεταβλητής περιβάλλοντος USER. Όταν κλήθηκε το βοηθητικό πρόγραμμα σύνδεσης, η τιμή αυτής της μεταβλητής περιβάλλοντος αντικαταστάθηκε χωρίς επιπλέον έλεγχο και χωρίς να διαφύγουν ειδικοί χαρακτήρες. Επομένως, για να συνδεθείτε ως χρήστης root, απλώς ορίστε τη μεταβλητή περιβάλλοντος USER σε "-f root" και συνδεθείτε στον διακομιστή Telnet χρησιμοποιώντας την επιλογή "-a": $ USER='-f root' telnet -a server_name
Η αλλαγή που εισήγαγε το θέμα ευπάθειας προστέθηκε στον κώδικα telnetd τον Μάρτιο του 2015 και αντιμετώπισε ένα πρόβλημα που εμπόδιζε τον προσδιορισμό του ονόματος χρήστη σε λειτουργία αυτόματης σύνδεσης χωρίς έλεγχο ταυτότητας Kerberos. Ως λύση, προστέθηκε υποστήριξη για τη διαβίβαση του ονόματος χρήστη για τη λειτουργία αυτόματης σύνδεσης μέσω μιας μεταβλητής περιβάλλοντος, αλλά ξεχάστηκε ένας έλεγχος επικύρωσης για το όνομα χρήστη από τη μεταβλητή περιβάλλοντος.
Πηγή: opennet.ru
