Gerade schneite diese Meldung rein:
Name : telnet
URL : http://web.archive.org/web/20070819111735/www.hcs.harvard.edu/~dholland/computers/old-netkit.html
Summary : The client program for the Telnet remote login protocol
Description :
Telnet is a popular protocol for logging into remote systems over the
Internet. The package provides a command line Telnet client——————————————————————————–
Update Information:Security fix for CVE-2020-10188
——————————————————————————–
ChangeLog:* Fri Mar 27 2020 Michal Ruprich <michalruprich@gmail.com> – 1:0.17-79
– Resolves: #1814478 – Arbitrary remote code execution in utility.c via short writes or urgent data
Telnet ist sowas wie SSH nur ohne Verschlüsselung. Das ist schon in den 90ern durch SSH ersetzt worden. Telnet ist also ein sehr alter Dienst aus den 80ern. Ich habe auch seit Jahrzehnten keinen Server mehr mit einem Telnet-Dienst gesehen, schon weil da der Zugang unverschlüsselt passiert.
Kommentar
Weil das weit über 30 Jahre existiert, ist es mehr als ungewöhnlich, daß in einem so alten, eigentlich unbenutzten Dienst noch eine so gravierende Sicherheitslücke existiert! Das ist eigentlich unfassbar!
Jetzt der eigentliche Hammer: sehr, sehr viele IOT Geräte haben einen Telnet Dienst, statt SSH, und wie Ihr wisst, bekommen die praktisch nie Updates. Das bedeutet, Ihr könnt jetzt alle IOT Geräte mit Telnet wegwerfen, wenn diese die verwundbare Version haben und das steht zu befürchten.