BDU:2026-00709
ООО «РусБИТех-Астра», Free Software Foundation, Inc. Inetutils, Astra Linux Special Edition
2026-01-20
Уязвимость сервера telnetd пакета сетевых программ Inetutils связана с неправильной нейтрализацией разделителей аргументов в команде при обработке переменной USER. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности при выполнении специально сформированной команды
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - ограничение возможности использования протокола telnet для удаленного доступа к уязвимому программному обеспечению; - использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному обеспечению; - ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет); - ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»; - использование SIEM-систем для отслеживания событий, связанных с telnet-подключениями.
Использование рекомендаций: https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7b https://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cc
Для ОС Astra Linux: обновить пакет inetutils до 2:2.4-2+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18