Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации"	+/–
Сообщение от opennews (?), 20-Янв-26, 22:25
В сервере telnetd из набора GNU InetUtils выявлена уязвимость, позволяющая подключиться под любым пользователем, включая пользователя root, без проверки пароля. CVE-идентификатор пока не присвоен. Уязвимость проявляется начиная с версии InetUtils 1.9.3 (2015 год) и остаётся неисправленной в актуальном выпуске 2.7.0. Исправление доступно в форме патчей (1, 2)... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64649
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от Аноним (3), 20-Янв-26, 22:32	+4 +/–
> telnetd в марте 2015 серьезно? последний раз на сервер телнетом заходил еще в прошлом веке...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #12

4. Сообщение от Аноним (4), 20-Янв-26, 22:36	–1 +/–
На роутерах есть в проприетарных прошивках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5, #6

5. Сообщение от Аноним (5), 20-Янв-26, 22:43	+1 +/–
На роутерах BusyBox и его аналоги/форки. Роутеров с GNU InetUtils скорее всего в природе не существует, а значит уязвимость неприменима.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (6), 20-Янв-26, 22:49	+/–
Даже интересно, кто-то выставляет роутеры телнетом наружу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8, #9, #24

7. Сообщение от Аноним (7), 20-Янв-26, 22:51	+1 +/–
Всего-то на одиннадцатый год индеец тысячеглаз заметил…
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (3), 20-Янв-26, 22:56	+/–
ну может перепутали wan и lan, да так и оставили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

9. Сообщение от Аноним (9), 20-Янв-26, 23:17	+1 +/–
кинетики через телнет работают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17

10. Сообщение от Аноним (10), 20-Янв-26, 23:18	+/–
В дырке нашли дырку, вот же событие.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Сообщник (?), 20-Янв-26, 23:28	–4 +/–
Отчего же сообщество не заметило такой явный косяк? Может не смотрит никто? Только орут что код надо держать открытым 🤔 а как до дела доходит, сливаются как я вижу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #15, #22

12. Сообщение от Сообщник (?), 20-Янв-26, 23:30	+/–
За тебя им заходили на твой сервер, не переживай. Через кинетик тоже заходили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

13. Сообщение от фф (?), 20-Янв-26, 23:33	+1 +/–
ну вот заметили же. В проге, которой почти никто не пользуется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

14. Сообщение от Аноним (-), 20-Янв-26, 23:42    Скрыто ботом-модератором	+/–
ГНУ это как знак качества! Видишь проект с ГНУ и сразу понимаешь чего можно ожидать.
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (15), 20-Янв-26, 23:44	+/–
Любитель проприетари?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16

16. Сообщение от Аноним (-), 20-Янв-26, 23:52    Скрыто ботом-модератором	–1 +/–
Это было что? Попытка оправдания бракоделов? Или ты так выгораживаешь бесполезные тыщи глаз?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

17. Сообщение от Аноним (17), 20-Янв-26, 23:58	+1 +/–
а еще они работают через ssh, http и https... к чему был коммент выше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

18. Сообщение от Аноним (18), 21-Янв-26, 00:21	+/–
rhel 6.9 пронесло ) $ cat /etc/redhat-release CentOS release 6.9 (Final) $ USER="-f root" telnet -a 127.0.0.1 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. I don't hear you! Connection closed by foreign host. $
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

19. Сообщение от Аноним (19), 21-Янв-26, 00:31	+/–
> При вызове утилиты login значение данной переменной окружения подставлялось без дополнительной проверки и без экранирования спецсимволов. Это нужно на этапе компиляции проверять!
Ответить | Правка | Наверх | Cообщить модератору

20. Сообщение от Аноним (-), 21-Янв-26, 00:32	+/–
> ну вот заметили же. И десяти лет не прошло... а нет таки прошло. > В проге, которой почти никто не пользуется. Хотя это не показатель. Вон в ядре, на которое должны смотреть тысячи спецов, намеренный бекдор жил 10 лет. А "чистослучайные бекдоры" в виде ошибок жили еще дольше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от Аноним (21), 21-Янв-26, 00:35	+1 +/–
Типичный GNU софт, типичный C софт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

22. Сообщение от scriptkiddis (?), 21-Янв-26, 00:38	+/–
Вот и я удивлен, и почему ты не заметил. Нужно тебя уволить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

23. Сообщение от wergus (?), 21-Янв-26, 00:42	+/–
"И года не прошло", а тут вот и пригодился ....
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (5), 21-Янв-26, 00:42	+/–
Даже интересно кто уверен, что в его локальной сети нет китайских/фсбшных ботнетов в виде сявоми/хуавея/Яндекс подружки етц.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

25. Сообщение от Eifan (?), 21-Янв-26, 00:45	+/–
6.9 ? А чего не 4.0 ну, чтобы уж наверняка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от пэпэ (?), 21-Янв-26, 01:24	+/–
тысячи_шоколадных_глаз.webp
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

27. Сообщение от Аноним (27), 21-Янв-26, 01:25	+/–
Было же исследование, которое показало, что использование telnetd небезопасно. Эффективнее использовать SSH
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема