Schwachstelle CVE-2026-32746 im GNU Inetutils Telnetd Daemon

Veröffentlicht am 18. März 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Im Telnet Daemon der GNU Inetutils wurde eine schwere Sicherheitslücke (CVE-2026-32746) mit einem CVS 3.1 Score von 9.8 bekannt. Das birgt das Risiko einer Übernahme über per  TCP-Verbindung auf Port 23 für industriellen Steuerungssysteme (ICS), OT-Umgebungen (Operational Technology) und bestimmte Regierungsnetzwerke.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Entdeckt haben die Schwachstelle die Sicherheitsforscher der Dream Group, die das Ganze hier dokumentiert haben. Es handelt sich um eine neue Pufferüberlauf-Sicherheitslücke (CVE-2026-32746) im GNU-Inetutils-Daemon "telnetd". Konkret steckt die Schwachstelle im Code, der die Aushandlung der Option "LINEMODE SLC" (Set Local Characters) verarbeitet. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, indem er während des anfänglichen Verbindungs-Handshakes – noch bevor eine Anmeldeaufforderung erscheint – eine speziell gestaltete Nachricht sendet. Eine erfolgreiche Ausnutzung kann zur Ausführung von Remote-Code als Root führen.

Obwohl Telnet veraltet und unsicher ist, da es Daten im Klartext überträgt, ist es nach wie vor besonders verbreitet in industriellen Steuerungssystemen (ICS), Operational-Technology-Umgebungen (OT) und bestimmten Regierungsnetzwerken, wo veraltete Infrastrukturen üblich sind und Modernisierungszyklen langsam verlaufen. Angesichts der geringen Anforderungen für die Ausnutzung und der damit verbundenen vollständigen Kompromittierung des Systems ist eine Deaktivierung des Dienstes erforderlich, bis ein Fix veröffentlicht wird, schreiben die Sicherheitsforscher. Details sind bei Dream Group oder beispielsweise auf deutsch hier abrufbar.

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Schwachstelle CVE-2026-32746 im GNU Inetutils Telnetd Daemon

  1. Patrick sagt:
    18. März 2026 um 12:48 Uhr

    Z. B. bei Arch Linux werden die Inetutils mit telnet nicht mehr standardmäßig installiert, zudem wird im Wiki auf die mangelhafte Sicherheit hingewiesen. Bei den hier im Beitrag erwähnten Systemen wird man in der Netzwerkkonfiguration auch auf entsprechende Sicherheitsmaßnahmen achten müssen.

    Antworten
  2. ARC4 sagt:
    18. März 2026 um 15:03 Uhr

    interessant auch zu erwähnen GNU Inetutils ist für Telnet das Standard Paket in moderneren Versionen von Ubuntu und Debian, in älteren war es noch Netkit. Redhat by default immer noch Netkit.

    Antworten

Antworte auf den Kommentar von Patrick Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.