Das Telnet-IoT Desaster

Gerade schneite diese Meldung rein:

Name : telnet
URL : http://web.archive.org/web/20070819111735/www.hcs.harvard.edu/~dholland/computers/old-netkit.html
Summary : The client program for the Telnet remote login protocol
Description :
Telnet is a popular protocol for logging into remote systems over the
Internet.
The package provides a command line Telnet client

——————————————————————————–
Update Information:

Security fix for CVE-2020-10188
——————————————————————————–
ChangeLog:

* Fri Mar 27 2020 Michal Ruprich <michalruprich@gmail.com> – 1:0.17-79
– Resolves: #1814478 – Arbitrary remote code execution in utility.c via short writes or urgent data

Telnet ist sowas wie SSH nur ohne Verschlüsselung. Das ist schon in den 90ern durch SSH ersetzt worden. Telnet ist also ein sehr alter Dienst aus den 80ern. Ich habe auch seit Jahrzehnten keinen Server mehr mit einem Telnet-Dienst gesehen, schon weil da der Zugang unverschlüsselt passiert.

Kommentar

Weil das weit über 30 Jahre existiert, ist es mehr als ungewöhnlich, daß in einem so alten, eigentlich unbenutzten Dienst noch eine so gravierende Sicherheitslücke existiert! Das ist eigentlich unfassbar!

Jetzt der eigentliche Hammer: sehr, sehr viele IOT Geräte haben einen Telnet Dienst, statt SSH, und wie Ihr wisst, bekommen die praktisch nie Updates. Das bedeutet, Ihr könnt jetzt alle IOT Geräte mit Telnet wegwerfen, wenn diese die verwundbare Version haben und das steht zu befürchten.

PHP 5.6/7.x Remote Execution Schwachstelle

Zeit zum Updaten: PHP eine Remote Code Execution Schwachstelle hat!

Risikostufe 4 – Remote Code Execution

Das BSI schreibt im Advisory:

„Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in PHP ausnutzen, um Informationen offenzulegen, einen Denial of Service herbeizuführen oder Code mit den Privilegien des angegriffenen Dienstes zur Ausführung zu bringen.“

betrifft:

Open Source PHP < 5.6.40
Ooen Source PHP < 7.1.26
Open Source PHP < 7.2.14
Open Source PHP < 7.3.1