出典: Security NEXT – https://www.security-next.com/180039
GNU Inetutilsの「telnetd」に認証回避の脆弱性 – rootログインのおそれ
GNU Inetutilsの「telnetd」に認証回避の脆弱性 – rootログインのおそれ
GNUプロジェクトのネットワークユーティリティ「GNU Inetutils」に含まれる「telnetd」に深刻な脆弱性が明らかとなった。
「GNU Inetutils 2.7」までのバージョンに含まれるtelnetサーバ「telnetd」においてログイン処理が回避される脆弱性「CVE-2026-24061」が明らかとなったもの。2015年5月にリリースされた「同1.9.3」におけるコード変更によって生じたという。
クライアントから受信した環境変数の検証処理に不備があり、認証を必要とすることなくrootとしてログインすることが可能。クライアントより特定のオプションを用いて細工した環境変数を送信するだけで悪用できる。
開発チームは重要度を「高(High)」とレーティングしている。一方、CVE番号を採番したMITREでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」とし、重要度を4段階中もっとも高い「クリティカル(Critical)」と評価している。
開発チームでは「tel
