- 23,726
- 46
- 8 Ноя 2022
Уязвимость в пакете GNU InetUtils затронула все версии с 1.9.3 по 2.7 включительно.
Казалось бы, telnet давно ушел в прошлое вместе с модемами и dial-up, но именно он внезапно стал источником серьезной уязвимости. В GNU InetUtils обнаружен баг, который позволяет удаленно войти в систему под root без пароля, просто отправив специально сформированное значение переменной окружения.
Проблема затрагивает telnetd сервер, входящий в состав GNU InetUtils. Он передает программе login значение переменной USER, полученной от клиента, без какой-либо проверки. Этим можно воспользоваться, если клиент отправит строку «-f root» в качестве USER и подключится с параметром telnet -a или --login. В результате login воспринимает это как служебный флаг, пропускает стандартную процедуру аутентификации и автоматически авторизует пользователя как root.
Уязвимость получила идентификатор CVE-2026-24061 и оценку по CVSS: 9.8. Под угрозой находятся все версии GNU InetUtils, начиная с 1.9.3 и заканчивая 2.7 включительно. Баг присутствует в проекте почти 11 лет, с мая 2015 года, но был выявлен только сейчас. По сути, это классический пример уязвимости старой школы, где опасная строка без фильтрации передается системной утилите с привилегиями root.
Авторы advisory прямо рекомендуют вообще не использовать telnetd, ограничивать доступ к telnet-порту только доверенными клиентами и как можно быстрее установить исправление или обновиться до версии, в которой устранена проблема. Временным решением может быть полное отключение telnetd или использование кастомной версии login, которая не поддерживает параметр «-f».
Уязвимость обнаружил исследователь Карлос Кортес Альварес, патч был подготовлен и доработан разработчиками GNU InetUtils в январе 2026 года. Исправления включают санитизацию всех переменных, которые используются при формировании команды вызова login, чтобы подобные атаки стали невозможны в принципе.
История выглядит почти символично: устаревший протокол, забытый сервис и классическая логическая ошибка привели к полной компрометации системы. Еще одно напоминание о том, что даже «древние» технологии могут оставаться реальной угрозой, если они до сих пор работают в продакшне.
Казалось бы, telnet давно ушел в прошлое вместе с модемами и dial-up, но именно он внезапно стал источником серьезной уязвимости. В GNU InetUtils обнаружен баг, который позволяет удаленно войти в систему под root без пароля, просто отправив специально сформированное значение переменной окружения.
Проблема затрагивает telnetd сервер, входящий в состав GNU InetUtils. Он передает программе login значение переменной USER, полученной от клиента, без какой-либо проверки. Этим можно воспользоваться, если клиент отправит строку «-f root» в качестве USER и подключится с параметром telnet -a или --login. В результате login воспринимает это как служебный флаг, пропускает стандартную процедуру аутентификации и автоматически авторизует пользователя как root.
Уязвимость получила идентификатор CVE-2026-24061 и оценку по CVSS: 9.8. Под угрозой находятся все версии GNU InetUtils, начиная с 1.9.3 и заканчивая 2.7 включительно. Баг присутствует в проекте почти 11 лет, с мая 2015 года, но был выявлен только сейчас. По сути, это классический пример уязвимости старой школы, где опасная строка без фильтрации передается системной утилите с привилегиями root.
Авторы advisory прямо рекомендуют вообще не использовать telnetd, ограничивать доступ к telnet-порту только доверенными клиентами и как можно быстрее установить исправление или обновиться до версии, в которой устранена проблема. Временным решением может быть полное отключение telnetd или использование кастомной версии login, которая не поддерживает параметр «-f».
Уязвимость обнаружил исследователь Карлос Кортес Альварес, патч был подготовлен и доработан разработчиками GNU InetUtils в январе 2026 года. Исправления включают санитизацию всех переменных, которые используются при формировании команды вызова login, чтобы подобные атаки стали невозможны в принципе.
История выглядит почти символично: устаревший протокол, забытый сервис и классическая логическая ошибка привели к полной компрометации системы. Еще одно напоминание о том, что даже «древние» технологии могут оставаться реальной угрозой, если они до сих пор работают в продакшне.
- Источник новости
- www.securitylab.ru
