Názory k článku
Kritická chyba v telnetd umožňuje obejít přihlášení a získat rootovský přístup

No, mám pocit více než čtvrt století starého deja-vu.

Pro upřesnění, toto je jen eskalace práv, nebo přihlášení kohokoliv bez znalosti hesla?

Je to ta druhá možnost, tedy přemostění přihlašovacího procesu a získání rootovského účtu bez předchozích znalostí přístupových údajů.

Proc to ma jen 9.7 a ne 10 z 10? Vzdyt je to lehke zneuzuit, vzdalene, a nakonci mam root.

Vidím 9.8. A těch deset technicky není, protože scope: unchanged. Jestli to dává smysl...

Jasne, 9.8. `scope: unchanged. ` ne, neni to jasne :) Obcas se tech 10/10 objeví. Nedavno byla jedna citovana i tu zpravickou, a ta mi prisla min zneuzitelna. Jakoze pripojit se kmakoliv jako admin bez hesla mi pripada jako to nejhorsi. Horsi uz snad jen je, kdyz se ten sever pripoji ke me a nabidne mi ze na nem muzu jako root makat:)

Hodnocení zranitelností CVSS bohužel moc smysl nedává – a mám za to, že už je to všeobecně známo. Pokud má něco skóre 2 a něco 10, tak asi to se skórem 10 bude větší průšvih. Ale jestli má něco skóre 8 a něco 10, klidně může být to se skórem 8 závažnější problém, než to se skóre 10… A pak do toho ještě vstupuje kontext – to, co je obecně nějak závažné, může být v konkrétním prostředí nezajímavá prkotina, nebo to naopak může být ve spojení s něčím dalším daleko větší průšvih.

Ale CVSS vypadá dobře v barevných tabulkách a grafech…

Ano. Beru to tedy tak ze telent povazuji za nepouzivany, takze mu to vyrazne snizuje vektor utoku, a tudiz to ubralo ty dva desetine bodiky. Kdyby neco podobneho bylo v ssh, predpokladam ze by to melo 11/10. Diky!

no ja v systeme telnetd nemam.
rovnako nemam inetutils.

Takze vazna otazka:
nebude to tym ze nemam systemd?

Na co je naviazana telnetd

23. 1. 2026, 15:08 editováno autorem komentáře

Ne, je to tím že v systému nemáš inetutils a inetutils-telnetd

Tohle by bylo nekdy i uzitecne - kdyz se potrebujete dostat do proprietarniho dedictvi / embedded krabicek, ne? Normalni instalace telnetd asi pouzivat nebudou.

Klient je téměř ve všech distribucích, co jsem viděl, samostatný balíček. Takže i když ho někdo má nainstalovaný na přístup do embedded krabiček nebo třeba jako diagnostický nástroj, tak se ho ta chyba v serverové části netýká. U telnet serveru si, krom nějakých úplně specifických použití , nedokážu úplně představit, že by to mělo na běžném serveru nebo stanici využití.

telnetd je server – to „d“ je zkratka z „daemon“, obdobně je třeba httpd HTTP server (někde se tak jmenuje binárka Apache serveru).

Na běžném serveru nebo stanici se Telnet server obvykle nenajde, ale jak psal RDa, různá proprietární zařízení, která spoléhají na to, že se k nim po síti nikdo nepovolaný nedostane, to mít mohou.

Asi slabsi chvilka Michale? :D

telnetd je ta serverova cast.. a nepouziva se protoze to heslo je plaintext a vidi ho kdokoliv pres wireshark (at uz prirozeny MITM na ceste kudy spojeni putuje, nebo ukradena lokalni sit skrze ARP poisoning).

Asi slabsi chvilka Michale? :D
Ahoj, to vůbec nevylučuju, v poslední době mám trochu pocit, že moje slabší chvilka trvá už docela dlouho :)

Ale tady nejsme v rozporu, možná jsem to jen blbě napsal. Myslel jsem to v podstatě stejně. Když už dneska někdo vůbec používá telnet protokol i přes ty bezpečnostní problémy, co jsi popsal, tak používá nejspíš jen klienta pro přístup třeba do těch starších zařízení (některé síťové prvky nebo třeba i AV technika, co se pomocí telnetu dala automatizovat, monitorovat) a ta zranitelnost telnetd na Linuxu se ho tedy vůbec netýká.
Vlastně jsem se vůbec nesetkal se zařízeními, co by se potřebovaly přihlašovat na obecný telnet server s pseudoterminály PTY jako telnetd. I když něco takového možná existuje.
Jediné snad byly průmyslové čtečky kódů, co se po startu rovnou připojily na předvolený telnet server a pak už se na displeji ovládaly přes aplikaci běžící terminálu na serveru. Ale na tom serveru stejně neběžel standardní systémový telnet, ale nějaká proprietární služba, co si přímo otevřela ty sockety, řešila přihlášení z jednotlivých zařízení, navazování předchozích přerušených spojení atp.

Chlapci u nás hardenovali pár mašin pomocí CIS a podřízli si pod sebou rootovskou větev - root má vytikané heslo a nejde se na něj přihlásit ani přes konzoli. Držíme chlapce za koule, protože jako jediní máme sudo na roota a funguje to (a oni to nevědí). Ale necháme je to hezky vyžrat, aby se nad tím hardenováním příště víc zamysleli.
Možná jim tahle zranitelnost zachrání zadel ;). Ale spíš ne, protože tam telnetd mít pravděpodobně nebudou.

Telned měla i řada aktivních síťových prvků, kde se tak nějak bralo, že to plaintextové heslo po "lokální" síti není až takový problém.

A aktualizace na mnoho starších kousků už nikdy nedorazí.

Docela by se mi líbila povinnost pro výrobce, aby po ukončení podpory umožnili (nebo aspoň aktivně nebránili) použití alternativního OS/firmware.

No, to chcu vidět ten alternativní firmware pro 10 let starý switch....

Není třeba řešit, jestli ten firmware uvidíte. Je třeba řešit, jestli je k tomu vůbec cesta a pokud ne, postarat se o to, aby byla. Nikdo po výrobci nechce, aby podporoval staré zařízení, které už podporovat nechce. Co se po výrobci chce, je, aby, když už od toho dává ruce pryč, nesvazoval ruce jiným. Protože takhle, soudruzi, takhle tu planetu nezachráníme.

26. 1. 2026, 12:33 editováno autorem komentáře

Tim, ze budeme provozovat desitky let stary switch, co sezere vic elektriky nez uswitchuje paketu ale taky ne... :-) Realne i z otevreneho kodu odpadavaji archaicke platformy... a realne nejrozumnejsi cesta je odeslani toho staricka na recyklaci.

Na tohle téma už jsme se tu spolu bavili několikrát.

Klidně si obměňujte HW hned po záruce (klidně i před zárukou) a klidně si to zdůvodněte třeba spotřebou elektřiny.

Nic to nezmění na tom, že pro někoho je ta "reálně nejrozumnější" cesta ta zařízení dál používat. A to že do toho výrobci hází vidle vede ke zmenšení svobodných možností.

PS: Server u kterého jsme před pár lety řešily váš stejný elektroFUD, funguje už >25 let 24/7.
A japonský audio zesilovač z roku 1981, ve kterém jsem se vrtal včera a předevčírem by s vámi taky nesouhlasil, kdyby mohl.

To je pěkná blbost. Dnešní routery/switche jsou výkonově úspornější, ale zase mají více funkcí, výkonnější CPU, jedou na více pásmech takže ve vysledku sežerou většinou více energie než ty staré.

Otázka je, v kolika z nich je opravdu telnetd, a v kolika je nějaká jiná implementace, často proprietární (a obvykle ještě děravější).