Добавить новость
Ru24.pro News‑life.pro News‑life.org 29ru.net 123ru.market Sportsweek.org Iceprice.info
123ru.net
Все новости
Кобахидзе подтвердил дату парламентских выборов в Грузии 2028 года
Мурманский арктический университет получит масштабное обновление в 2026 году
«Речь идет о полном доступе», – Трамп приоткрыл завесу сделки по Гренландии
Шавкат Мирзиёев и глава ЕБРР договорились о цифровизации железных дорог
Паркет и ламинат – уже прошлый век: какие полы кладут в 2026 году вместо классики
Произносите эту фразу врагам: они больше не посмеют вас трогать
В ОП предложили ввести плату за каждую попытку сдачи экзамена на права


Новости сегодня

Новости от TheMoneytizer

Хакеры обошли защиту telnetd и почти 10 лет давали root-доступ

Potokmedia.ru (Йошкар-Ола) 

Специалист по информационной безопасности Саймон Йозефссон обнаружил опасную уязвимость в компоненте telnetd, входящем в пакет GNU InetUtils. Проблема оставалась незамеченной почти 10 лет и позволяла удаленно получать полный контроль над системой.

Под угрозой оказались версии GNU InetUtils с 1.9.3 по 2.7 включительно, где хакеры могли входить в систему сразу с правами root, минуя процедуру аутентификации. Как выяснилось, алгоритм атаки был предельно простым: сервер telnetd запускал системную утилиту /usr/bin/login и передавал ей имя пользователя.

В уязвимой реализации это значение берется из переменной окружения, которую клиент мог задать самостоятельно. Если хакер подставлял в переменную USER значение -f root и подключается в режиме автологина с помощью параметра telnet -a, то сервер без каких-либо проверок передавал его в login(1). Параметр -f интерпретировался как команда входа без запроса пароля, из-за чего соединение автоматически оформляется как вход под пользователем root.

Интересно то, что обычное подключение по Telnet не позволяет указать имя пользователя подобным образом, но режим автологина берет его именно из переменной окружения. Telnetd доверял ее содержимому полностью, не выполняя фильтрацию или экранирование. В результате достаточно было подставить одно значение, и система сама открывала доступ.

Примечательно то, что эта уязвимость появилась еще 19 марта 2015 года и вошла в релиз GNU InetUtils 1.9.3, опубликованный 12 мая того же года.  Изначально изменение создавалось для устранения проблем с автологином в средах с Kerberos, а разработчики добавили передачу имени пользователя через переменную окружения, но не предусмотрели проверку ее содержимого, что и стало причиной бреши.

Эксперт советует срочно принять меры защиты, а именно ограничить доступ к Telnet-порту только доверенными хостами, установить исправления или обновить GNU InetUtils до версии без уязвимости, а также всерьез задуматься, нужен ли Telnet в инфраструктуре вообще, пишет Anti-Malware.ru.

Читайте на сайте

VIP-тусовка

Орлова показала мужа после скандальных новостей о разводе — раскрыла правду

Здоровье

Ипотека при разводе: как поделить квадратные метры и не остаться с чужими долгами?

Разное на 123ru.net

Стивен Уиткофф и Джаред Кушнер прибыли в Кремль для встречи с президентом России

Smi24.net — ежеминутные новости с ежедневным архивом. Только у нас — все главные новости дня без политической цензуры. Абсолютно все точки зрения, трезвая аналитика, цивилизованные споры и обсуждения без взаимных обвинений и оскорблений. Помните, что не у всех точка зрения совпадает с Вашей. Уважайте мнение других, даже если Вы отстаиваете свой взгляд и свою позицию. Мы не навязываем Вам своё видение, мы даём Вам срез событий дня без цензуры и без купюр. Новости, какие они есть —онлайн с поминутным архивом по всем городам и регионам России, Украины, Белоруссии и Абхазии. Smi24.net — живые новости в живом эфире! Быстрый поиск от Smi24.net — это не только возможность первым узнать, но и преимущество сообщить срочные новости мгновенно на любом языке мира и быть услышанным тут же. В любую минуту Вы можете добавить свою новость - здесь.




Новости от наших партнёров в Вашем городе

Ria.city
Музыкальные новости
Новости России
Экология в России и мире
Спорт в России и мире
Moscow.media










Топ новостей на этот час

Rss.plus







Спонсорский контент

Все новости smi24.net