En sårbarhet har upptäckts i telnetd-servern från GNU InetUtils-sviten. Denna sårbarhet möjliggör anslutning som vilken användare som helst, inklusive root, utan lösenordsverifiering. En CVE-identifierare har ännu inte tilldelats. Sårbarheten har funnits sedan InetUtils version 1.9.3 (2015) och är fortfarande opatchad i den nuvarande versionen 2.7.0. En fix finns tillgänglig i patchar (1, 2).
Problemet orsakas av att telnetd-processen anropar verktyget "/usr/bin/login" för att kontrollera lösenordet och skickar som argument det användarnamn som klienten angav när den anslöt till serverVerktyget "login" stöder alternativet "-f", vilket tillåter inloggning utan autentisering (detta alternativ är avsett att användas när användaren redan har autentiserats). Genom att ersätta alternativet "-f" i användarnamnet kan du därför ansluta utan lösenordsverifiering.
Med en normal anslutning kan du inte använda ett användarnamn som "-f root", men Telnet har ett automatiskt anslutningsläge som aktiveras av alternativet "-a". I det här läget hämtas inte användarnamnet från kommandoraden, utan skickas via miljövariabeln USER. När inloggningsverktyget anropades ersattes värdet på denna miljövariabel utan ytterligare kontroll och utan escape-tecken. För att ansluta som root-användare ställer du därför helt enkelt in miljövariabeln USER till "-f root" och ansluter till Telnet-servern med alternativet "-a": $ USER='-f root' telnet -a servernamn
Ändringen som introducerade sårbarheten lades till i telnetd-koden i mars 2015 och åtgärdade ett problem som förhindrade att användarnamnet kunde fastställas i autologin-läge utan Kerberos-autentisering. Som en lösning lades stöd för att skicka användarnamnet för autologin-läge via en miljövariabel, men en valideringskontroll för användarnamnet från miljövariabeln glömdes bort.
Källa: opennet.ru
