A ti ṣe awari ailera kan ninu olupin telnetd lati inu suite GNU InetUtils. Agbara yii gba laaye asopọ bi olumulo eyikeyi, pẹlu root, laisi ijẹrisi ọrọ igbaniwọle. A ko tii yan idanimọ CVE kan. Agbara naa ti wa lati ẹya InetUtils 1.9.3 (2015) o si wa ni idasilẹ lọwọlọwọ 2.7.0. Atunṣe kan wa ni awọn patches (1, 2).
Iṣoro naa waye nitori otitọ pe lati ṣayẹwo ọrọ igbaniwọle, ilana telnetd pe ohun elo "/usr/bin/login", ti o n fi orukọ olumulo ti alabara sọ silẹ bi ariyanjiyan nigbati o ba n sopọ mọ sерверуOhun èlò "ìwọlé" náà ń ṣe àtìlẹ́yìn fún àṣàyàn "-f", èyí tí ó ń gba láàyè láti wọlé láìsí ìfọwọ́sowọ́pọ̀ (a ṣe àgbékalẹ̀ àṣàyàn yìí láti lò nígbà tí a bá ti fi ìfọwọ́sowọ́pọ̀ hàn olùlò). Nítorí náà, nípa lílo àṣàyàn "-f" sí orúkọ olùlò, o lè sopọ̀ láìsí ìfọwọ́sowọ́pọ̀ ọ̀rọ̀ìpamọ́.
Pẹ̀lú ìsopọ̀ déédé, o kò le lo orúkọ olùlò bíi "-f root," ṣùgbọ́n Telnet ní ipò ìsopọ̀ aládàáṣe tí àṣàyàn "-a" mú ṣiṣẹ́. Nínú ipò yìí, a kò gba orúkọ olùlò láti ìlà àṣẹ, ṣùgbọ́n a máa ń kọjá nípasẹ̀ oníyípadà àyíká USER. Nígbà tí a pe ohun èlò wíwọlé, a fi iye oníyípadà àyíká yìí rọ́pò láìsí àyẹ̀wò afikún àti láìsí àwọn ohun kikọ pàtàkì tí ó sá fún. Nítorí náà, láti sopọ̀ gẹ́gẹ́ bí olùlò gbòǹgbò, kàn ṣètò oníyípadà àyíká USER sí "-f root" kí o sì sopọ̀ mọ́ olupin Telnet nípa lílo àṣàyàn "-a": $ USER='-f root' telnet -a server_name
A fi àyípadà tó fa àìlera náà kún kódì telnetd ní oṣù kẹta ọdún 2015, ó sì yanjú ọ̀ràn kan tó dẹ́kun kí a má ṣe pinnu orúkọ olùlò ní ipò autologin láìsí ìfọwọ́sowọ́pọ̀ Kerberos. Gẹ́gẹ́ bí ojútùú, a fi ìtìlẹ́yìn fún gbígbé orúkọ olùlò fún ipò autologin nípasẹ̀ ayípadà àyíká kún un, ṣùgbọ́n a gbàgbé àyẹ̀wò ìfọwọ́sowọ́pọ̀ fún orúkọ olùlò láti inú ayípadà àyíká.
orisun: opennet.ru
