Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00709

Опубликовано: 20 янв. 2026
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость сервера telnetd пакета сетевых программ Inetutils связана с неправильной нейтрализацией разделителей аргументов в команде при обработке переменной USER. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности при выполнении специально сформированной команды

Вендор

ООО «РусБИТех-Астра»
Free Software Foundation, Inc.

Наименование ПО

Astra Linux Special Edition
Inetutils

Версия ПО

1.8 (Astra Linux Special Edition)
от 1.9.3 до 2.7 включительно (Inetutils)
3.8 (Astra Linux Special Edition)

Тип ПО

Операционная система
Сетевое средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
ООО «РусБИТех-Астра» Astra Linux Special Edition 3.8

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности использования протокола telnet для удаленного доступа к уязвимому программному обеспечению;
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет);
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания событий, связанных с telnet-подключениями.
Использование рекомендаций:
https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7b
https://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cc
Для ОС Astra Linux:
обновить пакет inetutils до 2:2.4-2+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Для ОС Astra Linux:
обновить пакет inetutils до 2:2.4-2+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.87007
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-24061

CVSS3: 9.8
ubuntu
2 месяца назад

telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a "-f root" value for the USER environment variable.

nvd логотип

CVE-2026-24061

CVSS3: 9.8
nvd
2 месяца назад

telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a "-f root" value for the USER environment variable.

debian логотип

CVE-2026-24061

CVSS3: 9.8
debian
2 месяца назад

telnetd in GNU Inetutils through 2.7 allows remote authentication bypa ...

github логотип

GHSA-pf97-p8ff-fj35

CVSS3: 9.8
github
2 месяца назад

telnetd in GNU Inetutils through 2.7 allows remote authentication bypass via a "-f root" value for the USER environment variable.

EPSS

Процентиль: 99%
0.87007
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2