"automatically logged in as root"

"If the client supply a carefully crafted USER environment value being the string "-f root", and passes the telnet(1) -a or --login parameter to send this USER environment to the server, the client will be automatically logged in as root bypassing normal authentication processes."

https://seclists.org/oss-sec/2026/q1/89

Fisher blogja
A hozzászóláshoz be kell jelentkezni
443 megtekintés

11 évig tartó zero day :) szép.

2 szavazat

A hozzászóláshoz be kell jelentkezni

Mondjuk aki 2026-ban (de akár 2016-ban is) telnetet futtat, az meg is érdemli ezt a sebezhetőséget :)

Régóta vágyok én, az androidok mezonkincsére már!

1 szavazat

A hozzászóláshoz be kell jelentkezni

Akkor ide is ideírom. Furcsa emlékek rémlenek fel a múltból:

rlogin -froot targethost.com

1999. IBM AIX 3.2.5

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

0 szavazat

A hozzászóláshoz be kell jelentkezni

Ehhez hasonló esetem volt egyszer még nagyon régen. Egy Unix (talán HP?) serverre próbáltam rácsatlakozni ssh-val, a kérdéses serveren nem volt ssh server, a linuxos ssh kliens pedig fallbackelt rsh-ra. Botor módon épp root voltam a gépen, meglepődve láttam, hogy a server beengedett authentikáció nélkül rootként.

0 szavazat