ГлавнаяБаза уязвимостей БДУ → BDU:2026-00709
10критическая

BDU:2026-00709

Уязвимость сервера telnetd пакета сетевых программ Inetutils, позволяющая нарушителю обойти существующие механизмы безопасности
Опубликовано: 2026-01-23
Описание

Уязвимость сервера telnetd пакета сетевых программ Inetutils связана с неправильной нейтрализацией разделителей аргументов в команде при обработке переменной USER. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности при выполнении специально сформированной команды

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.8)Inetutils (от 1.9.3 до 2.7 включительно)Astra Linux Special Edition (3.8)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности использования протокола telnet для удаленного доступа к уязвимому программному обеспечению;
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет);
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование SIEM-систем для отслеживания событий, связанных с telnet-подключениями.

Использование рекомендаций:
https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7b
https://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cc

Для ОС Astra Linux:
обновить пакет inetutils до 2:2.4-2+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для ОС Astra Linux:
обновить пакет inetutils до 2:2.4-2+deb12u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se38-bulletin-2026-0305SE38

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7bhttps://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cchttps://www.openwall.com/lists/oss-security/2026/01/22/1https://www.openwall.com/lists/oss-security/2026/01/20/2https://www.openwall.com/lists/oss-security/2026/01/20/8https://www.openwall.com/lists/oss-security/2026/01/20/2#:~:text=root@...a%3A~%20USER='https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csvhttps://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена