Bofokodi bo fumanoe seva sa telnetd ho tsoa ho suite ea GNU InetUtils. Bofokodi bona bo lumella khokahano joalo ka mosebelisi ofe kapa ofe, ho kenyeletsoa le motso, ntle le netefatso ea phasewete. Sesupo sa CVE ha se so abeloe. Bofokodi bona bo bile teng ho tloha phetolelong ea InetUtils 1.9.3 (2015) 'me bo ntse bo sa patloa tokollong ea hona joale ea 2.7.0. Tokiso e fumaneha ka li-patches (1, 2).
Bothata bo bakoa ke taba ea hore ho hlahloba phasewete, ts'ebetso ea telnetd e bitsa sesebelisoa sa "/usr/bin/login", e fetisa lebitso la mosebelisi le boletsoeng ke moreki ha a hokela ho sevaSesebelisoa sa "ho kena" se tšehetsa khetho ea "-f", e lumellang ho kena ntle le netefatso (khetho ena e reretsoe ho sebelisoa ha mosebelisi a se a netefalitsoe). Ka hona, ka ho kenya khetho ea "-f" sebakeng sa lebitso la mosebelisi, u ka hokela ntle le netefatso ea phasewete.
Ka khokahano e tloaelehileng, o ke ke wa sebedisa lebitso la mosebedisi jwalo ka "-f root," empa Telnet e na le mokgwa wa kgokelo o iketsang o kentsweng tshebetsong ke kgetho ya "-a". Mokgweng ona, lebitso la mosebedisi ha le nkwe moleng wa taelo, empa le fetisetswa ka phetoho ya tikoloho ya USER. Ha tshebediso ya ho kena e ne e bitswa, boleng ba phetoho ena ya tikoloho bo ile ba nkeloa sebaka ntle le ho hlahloba ho eketsehileng mme ntle le ho phonyoha ditlhaku tse ikgethang. Ka hona, ho hokela jwalo ka mosebelisi wa motso, beha feela phetoho ya tikoloho ya USER ho "-f root" mme o hokele ho seva sa Telnet o sebedisa kgetho ya "-a": $ USER='-f root' telnet -a server_name
Phetoho e hlahisitseng bofokodi e ekelitsoe khoutung ea telnetd ka Hlakubele 2015 mme ea rarolla bothata bo ileng ba thibela lebitso la mosebelisi ho fumanoa ka mokhoa oa autologin ntle le netefatso ea Kerberos. E le tharollo, tšehetso ea ho fetisa lebitso la mosebelisi bakeng sa mokhoa oa autologin ka phetoho ea tikoloho e ekelitsoe, empa tlhahlobo ea netefatso bakeng sa lebitso la mosebelisi ho tsoa phetohong ea tikoloho e lebetsoe.
Source: opennet.ru
