Selon seclists.org, Simon Josefsson publie un avis de sécurité sur GNU InetUtils révélant une vulnérabilité de contournement d’authentification dans le service telnetd (gravité: High), présente depuis la version 1.9.3 jusqu’à 2.7 incluse.

  • Problème: telnetd invoque /usr/bin/login (en root) en lui passant la valeur de l’environnement USER fournie par le client comme dernier paramètre, sans sanitisation. Si le client envoie USER="-f root" et utilise telnet -a ou --login, login(1) interprète l’option -f comme un bypass d’authentification, ouvrant une session root automatiquement.

  • Impact et périmètre: authentification à distance contournée sur les hôtes exécutant inetutils-telnetd vulnérable. Les versions affectées vont de 1.9.3 (introduite par un commit du 19 mars 2015) à 2.7.

  • Démonstration: l’avis montre un exemple réel sur Trisquel 11 où USER='-f root' telnet -a localhost donne directement un prompt root ✅. L’analyse du code met en évidence le modèle d’invocation de login dans telnetd/telnetd.c et l’expansion de variables dans telnetd/utility.c, suggérant des risques similaires pour d’autres variables (ex. remote_hostname) alimentées par des sources non fiables (getnameinfo/gethostbyaddr).

  • Correctifs et mesures: des patchs publiés assainissent toutes les variables d’expansion: • https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7bhttps://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cc Recommandations: ne pas exécuter telnetd, restreindre l’accès réseau au port telnet, appliquer le patch/mettre à niveau, ou utiliser un login(1) personnalisé n’acceptant pas -f.

  • Crédits et historique: vulnérabilité signalée par Kyu Neushwaistein (Carlos Cortes Alvarez) le 2026-01-19; patch initial par Paul Eggert (2026-01-20), amélioré par Simon Josefsson. Le bug provient d’un commit du 19 mars 2015 et a été livré dans v1.9.3 (12 mai 2015).

IOCs: Aucun indicateur technique fourni.

TTPs:

  • 🚩 Exploitation de l’option -f de login(1) via injection de variable d’environnement USER.
  • 🚩 Utilisation de telnet -a/--login pour transmettre USER au serveur.
  • 🚩 Absence de sanitisation des expansions (USER, remote_hostname, etc.).

Il s’agit d’un avis de sécurité détaillant une vulnérabilité et les correctifs associés, avec exemple d’exploitation et historique.

🔗 Source originale : https://seclists.org/oss-sec/2026/q1/89

🖴 Archive : https://web.archive.org/web/20260121212140/https://seclists.org/oss-sec/2026/q1/89