На сервері telnetd з набору GNU InetUtils виявлено вразливість, що дозволяє підключитися під будь-яким користувачем, включаючи користувача root, без перевірки пароля. CVE-ідентифікатор поки що не присвоєний. Вразливість проявляється починаючи з версії InetUtils 1.9.3 (2015 рік) та залишається невиправленою в актуальному випуску 2.7.0. Виправлення є у формі патчів (1, 2).
Проблема викликана тим, що для перевірки пароля процес telnetd викликає утиліту "/usr/bin/login", передаючи як аргумент ім'я користувача, вказаного клієнтом при підключенні до сервера. Утиліта "login" підтримує опцію "-f", що дозволяє здійснити вхід без виконання аутентифікації (маю на увазі, що ця опція використовується, коли користувач вже пройшов перевірку). Таким чином, якщо домогтися підстановки опції "-f" в імені користувача, можна підключитися без перевірки пароля.
При звичайному підключенні використовувати ім'я користувача виду -f root не вийде, але в telnet є режим автоматичного підключення, що активується опцією -a. У цьому режимі ім'я користувача береться не з командного рядка, а передається через змінну середовища USER. При виклику утиліти login значення цієї змінної оточення підставлялося без додаткової перевірки та без екранування спецсимволів. Таким чином, для підключення під користувачем root достатньо виставити в змінну оточення USER значення "-f root" і підключитися до telnet-сервера, вказавши опцію "-a": $ USER='-f root' telnet -a ім'я_сервера
Зміна, що призвела до вразливості, була додана в код telnetd у березні 2015 року і була пов'язана з усуненням проблеми, що не дозволяла визначити ім'я користувача в режимі autologin без автентифікації в Kerberos. Як рішення була додана підтримка передачі імені користувача режиму autologin через змінну оточення, але перевірку коректності імені користувача з змінної оточення додати забули.
Джерело: opennet.ru
