ASA-2019-00467 – FreeBSD: Múltiplas vulnerabilidades no cliente telnet

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00467

Identificador(es)

ASA-2019-00467, CVE-2019-0053, FreeBSD-SA-19:12.telnet

Título

Múltiplas vulnerabilidades no cliente telnet

Fabricante(s)

The FreeBSD Project

Produto(s)

FreeBSD

Versão(ões) afetada(s)

Todas as versões suportadas do FreeBSD

Versão(ões) corrigida(s)

2019-07-19 15:37:29 UTC (stable/12, 12.0-STABLE)
2019-07-24 12:51:52 UTC (releng/12.0, 12.0-RELEASE-p8)
2019-07-19 15:27:53 UTC (stable/11, 11.2-STABLE)
2019-07-24 12:51:52 UTC (releng/11.2, 11.2-RELEASE-p12)
2019-07-24 12:51:52 UTC (releng/11.3, 11.3-RELEASE-p1)

Prova de conceito

Desconhecido

Descrição

A validação insuficiente de variáveis de ambiente no cliente de telnet fornecido no FreeBSD pode levar a stack-based buffer overflow. Um stack-based buffer overflow está presente no manuseio de variáveis de ambiente ao conectar-se via cliente telnet a servidores telnet remotos.

Esse problema afeta apenas o cliente de telnet. Sessões telnet de entrada para telnetd(8) não são afetadas por este problema.

Esses buffer overflows podem ser acionados ao se conectar a um servidor mal-intencionado ou a um atacante ativo no caminho de rede entre o cliente e o servidor. Seqüências de comandos TELNET especialmente criadas podem causar a execução de código arbitrário com os privilégios do usuário invocar o telnet(1).

Detalhes técnicos

Desconhecido

Solução alternativa

Não use o telnet(1) para conectar-se a máquinas não confiáveis ou através de uma rede não confiável.

Créditos

Juniper Networks

Referência(s)

FreeBSD-SA-19:12.telnet
https://www.freebsd.org/security/advisories/FreeBSD-SA-19:12.telnet.asc

telnet.patch
https://security.FreeBSD.org/patches/SA-19:12/telnet.patch

telnet: fix a couple of snprintf() buffer overflows
https://svnweb.freebsd.org/base?view=revision&revision=r350139

Fix multiple telnet client vulnerabilities.
https://svnweb.freebsd.org/base?view=revision&revision=r350281

telnet: fix a couple of snprintf() buffer overflows
https://svnweb.freebsd.org/base?view=revision&revision=r350140

CVE-2019-0053
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0053

CVE-2019-0053
https://nvd.nist.gov/vuln/detail/CVE-2019-0053

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 1 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.