Telnet-Loch ruft Patch-Designer weltweit auf den Plan

Telnet, ein Terminal-Emulationsprogramm für über das Internet durchgeführte Kontrolle von Web-Servern, hat auf der Client-Seite ein Loch. Wie die Security-Firma iDefense zusammen mit anderen professionellen Anwendern des Protokolls mitteilt, kann das Loch benutzt werden, um aus der Ferne einen gezielten Buffer Overflow durchzuführen und sogar schädlichen Code auf entfernten Rechnern und Servern auszuführen.

Alles, was der erfolgreiche Angreifer tun müsste, wäre, den rechtmäßigen Anwender zum Öffnen einer Telnet-Session zu animieren. Dies ist durch die Verwendung eines Servers möglich, der nur für bösartige Zwecke benutzt wird, heißt es. Verschiedene Anbieter und Großanwender von Telnet-Protokollen haben bereits Patches veröffentlicht, darunter Apple, FreeBSD, Red Hat und Sun.

Besonders das ‘Kerberos’-Projekt am Massachusetts Institute of Technology (MIT) hat sich mit dem Patchen beeilt, weil in der Distribution des ‘MIT Kerberos 5’ genau dieser Fehler benutzt werden kann. Die Forscher stellen in der Beschreibung eines ersten Workarounds fest, dass jeder, der seinen Server als einen echten Telnet-Server ausgeben kann, über die Funktionen slc_add_reply und env_opt_add einen Buffer Overflow ausführen könne. Dieser kann dann für eine remote ausgeführte Attacke benutzt werden.

Weil bei der einfachen Kommunikation über Telnet grundsätzlich in der Urform keine Verschlüsselung stattfindet, gehen einige professionelle Anwender dazu über, von Telnet abzuraten und generell Secure Shell als Alternative vorzuschlagen. Zu ihnen gehört das SANS Institute. Sie dürften durch die neue Lücke Wasser auf ihre Mühlen bekommen.

Silicon-Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

14 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago