For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00467
Identificador(es)
ASA-2019-00467, CVE-2019-0053, FreeBSD-SA-19:12.telnet
Título
Múltiplas vulnerabilidades no cliente telnet
Fabricante(s)
The FreeBSD Project
Produto(s)
FreeBSD
Versão(ões) afetada(s)
Todas as versões suportadas do FreeBSD
Versão(ões) corrigida(s)
2019-07-19 15:37:29 UTC (stable/12, 12.0-STABLE)
2019-07-24 12:51:52 UTC (releng/12.0, 12.0-RELEASE-p8)
2019-07-19 15:27:53 UTC (stable/11, 11.2-STABLE)
2019-07-24 12:51:52 UTC (releng/11.2, 11.2-RELEASE-p12)
2019-07-24 12:51:52 UTC (releng/11.3, 11.3-RELEASE-p1)
Prova de conceito
Desconhecido
Descrição
A validação insuficiente de variáveis de ambiente no cliente de telnet fornecido no FreeBSD pode levar a stack-based buffer overflow. Um stack-based buffer overflow está presente no manuseio de variáveis de ambiente ao conectar-se via cliente telnet a servidores telnet remotos.
Esse problema afeta apenas o cliente de telnet. Sessões telnet de entrada para telnetd(8) não são afetadas por este problema.
Esses buffer overflows podem ser acionados ao se conectar a um servidor mal-intencionado ou a um atacante ativo no caminho de rede entre o cliente e o servidor. Seqüências de comandos TELNET especialmente criadas podem causar a execução de código arbitrário com os privilégios do usuário invocar o telnet(1).
Detalhes técnicos
Desconhecido
Solução alternativa
Não use o telnet(1) para conectar-se a máquinas não confiáveis ou através de uma rede não confiável.
Créditos
Juniper Networks
Referência(s)
FreeBSD-SA-19:12.telnet
https://www.freebsd.org/security/advisories/FreeBSD-SA-19:12.telnet.asc
telnet.patch
https://security.FreeBSD.org/patches/SA-19:12/telnet.patch
telnet: fix a couple of snprintf() buffer overflows
https://svnweb.freebsd.org/base?view=revision&revision=r350139
Fix multiple telnet client vulnerabilities.
https://svnweb.freebsd.org/base?view=revision&revision=r350281
telnet: fix a couple of snprintf() buffer overflows
https://svnweb.freebsd.org/base?view=revision&revision=r350140
CVE-2019-0053
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0053
CVE-2019-0053
https://nvd.nist.gov/vuln/detail/CVE-2019-0053
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 1 agosto 2019