Hita tao amin'ny mpizara telnetd avy amin'ny GNU InetUtils suite ny fahalemena. Ity fahalemena ity dia ahafahana mifandray amin'ny mpampiasa rehetra, anisan'izany ny root, tsy mila fanamarinana tenimiafina. Mbola tsy nomena famantarana CVE. Efa nisy hatramin'ny InetUtils version 1.9.3 (2015) ity fahalemena ity ary mbola tsy voavaha ao amin'ny famoahana ankehitriny 2.7.0. Misy fanamboarana azo alaina amin'ny patch (1, 2).
Ny olana dia vokatry ny hoe mba hanamarinana ny tenimiafina, ny dingana telnetd dia miantso ny fitaovana "/usr/bin/login", izay manome ny anaran'ny mpampiasa voafaritry ny mpanjifa rehefa mifandray amin'ny mpizaraManohana ny safidy "-f" ny fitaovana "login", izay ahafahana miditra tsy mila fanamarinana (ity safidy ity dia natao hampiasaina rehefa efa voamarina ny mpampiasa). Noho izany, amin'ny fanoloana ny safidy "-f" amin'ny anaran'ny mpampiasa, dia afaka mifandray ianao tsy mila fanamarinana tenimiafina.
Amin'ny fifandraisana mahazatra, tsy afaka mampiasa anarana mpampiasa toy ny "-f root" ianao, fa ny Telnet kosa dia manana fomba fifandraisana mandeha ho azy izay ampiasain'ny safidy "-a". Amin'ity fomba ity, ny anarana mpampiasa dia tsy nalaina avy amin'ny andalana baiko, fa nalefa tamin'ny alàlan'ny variable environment USER. Rehefa nantsoina ny utility login, dia nosoloina ny sandan'ity variable environment ity tsy nisy fanamarinana fanampiny ary tsy nisy fandosirana ny endri-tsoratra manokana. Noho izany, mba hifandraisana amin'ny maha-mpampiasa root anao, dia apetraho fotsiny amin'ny "-f root" ny variable environment USER ary mifandraisa amin'ny mpizara Telnet amin'ny alàlan'ny safidy "-a": $ USER='-f root' telnet -a server_name
Nampiana tao amin'ny kaody telnetd tamin'ny Martsa 2015 ny fanovana izay nampiditra ny fahalemena ary namaha olana iray izay nanakana ny famaritana ny anaran'ny mpampiasa amin'ny fomba autologin tsy misy fanamarinana Kerberos. Ho vahaolana, nampiana ny fanohanana ny fandefasana ny anaran'ny mpampiasa ho an'ny fomba autologin amin'ny alàlan'ny variable tontolo iainana, saingy hadino ny fanamarinana ny anaran'ny mpampiasa avy amin'ny variable tontolo iainana.
Source: opennet.ru
