GNU InetUtilsスイートのtelnetdサーバーに脆弱性が発見されました。この脆弱性により、rootを含む任意のユーザーとしてパスワード認証なしで接続が可能になります。CVE識別子はまだ割り当てられていません。この脆弱性はInetUtilsバージョン1.9.3(2015年)以降存在しており、現在のリリース2.7.0でも修正されていません。修正パッチ(1、2)が利用可能です。
この問題は、パスワードを確認するために、telnetdプロセスが「/usr/bin/login」ユーティリティを呼び出し、接続時にクライアントが指定したユーザー名を引数として渡すことによって発生します。 サーバ「login」ユーティリティは「-f」オプションをサポートしており、認証なしでログインできます(このオプションは、ユーザーが既に認証されている場合に使用することを目的としています)。したがって、ユーザー名に「-f」オプションを代入することで、パスワード認証なしで接続できます。
通常の接続では、「-f root」のようなユーザー名は使用できませんが、Telnetには「-a」オプションで有効化される自動接続モードがあります。このモードでは、ユーザー名はコマンドラインから取得されるのではなく、USER環境変数を介して渡されます。ログインユーティリティが呼び出されると、この環境変数の値は追加のチェックや特殊文字のエスケープなしに置換されます。したがって、rootユーザーとして接続するには、USER環境変数を「-f root」に設定し、「-a」オプションを使用してTelnetサーバーに接続するだけです。$ USER='-f root' telnet -a server_name
脆弱性をもたらした変更は2015年3月にtelnetdコードに追加され、Kerberos認証なしの自動ログインモードでユーザー名を判別できないという問題に対処しました。解決策として、自動ログインモードのユーザー名を環境変数経由で渡すサポートが追加されましたが、環境変数からのユーザー名の検証チェックが省略されていました。
出所: オープンネット.ru
