Alert GCSA-26011 - Vulnerabilita' critica in GNU inetutils (telnetd)
******************************************************************
Alert ID: GCSA-26011
data: 28 gennaio 2026
titolo: Vulnerabilita' critica in GNU inetutils (telnetd)
******************************************************************
:: Descrizione del problema
E' stata rilevata una vulnerabilita' critica nel demone telnetd,
appartenente al gruppo di utility GNU inetutils.
Questa vulnerabilita' consiste nel non sanificare correttamente l'input
e consente ad un attaccante remoto di aggirare meccanismi di autenticazione
permettendo da remoto la login di root.
La CVE (CVE-2026-24061) ha uno score CVSS di 9.8 e purtroppo al momento
viene sfruttata in maniera intensiva da utenti malintenzionati.
Esiste una patch solo per la distribuzione Debian, le altre distribuzioni
linux e altri sistemi non Linux non hanno ancora disponibili patch,
solo un workaroud di mitigazione oneroso (v. la sezione Soluzioni),
per questo consigliamo vivamente di disabilitare del tutto telnetd
e limitare l'accesso agli IP strettamente necessari
dove non sia possibile la dismissione.
:: Software interessato
GNU inetutils dalla versione 1.9.3 alla versione 2.7 inclusa
:: Impatto
Bypass del sistema di autenticazione
Accesso privilegiato (root) da remoto
:: Soluzioni
Distribuzione Linux Debian: aggiornare all'ultima versione
Debian bullseye versione 2:2.0-1+deb11u3
Debian bookworm versione 2:2.4-2+deb12u2
Debian trixie versione 2:2.6-3+deb13u1
Debian sid (unstable) versione 2:2.7-2
Per tutti gli altri Linux esiste un workaround:
dire al demone telnetd di usare il programma login(1) modificato
per non permettere l'opzione -f
Per fare questo dobbiamo intervenire sui sorgenti di telnetd alla sezione
/* Template command line for invoking login program. */
Agli indirizzi seguenti ci sono proposte di patch per mitigare il problema,
ovviamente poi andra' ricompilato a mano
https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7b
https://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cc
NOTA: Si consiglia di disabilitare telnetd
:: Riferimenti
GNU advisory
https://lists.gnu.org/archive/html/bug-inetutils/2026-01/msg00004.html
Open Source Security Mailing-list
https://seclists.org/oss-sec/2026/q1/89
Debian security Advisory
https://security-tracker.debian.org/tracker/CVE-2026-24061
https://lists.debian.org/debian-lts-announce/2026/01/msg00025.html
the Hacker News
https://thehackernews.com/2026/01/critical-gnu-inetutils-telnetd-flaw.html
Il Software.it
https://www.ilsoftware.it/vulnerabilita-critica-in-telnetd-consente-accesso-root-remoto-a-tutti-dopo-11-anni/
CSIRT Italia
https://www.acn.gov.it/portale/w/gnu-rilevato-sfruttamento-in-rete-della-cve-2026-24061
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2026-24061
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaXoInwAKCRDBnEyTZRJg
QqEcAJ9QNQoQlwvT74K4O4/1MFFIf415sQCcDiO22YbLQgzfnQTWGhg8XXLyljw=
=HCWB
-----END PGP SIGNATURE-----
Alert ID: GCSA-26011
data: 28 gennaio 2026
titolo: Vulnerabilita' critica in GNU inetutils (telnetd)
******************************************************************
:: Descrizione del problema
E' stata rilevata una vulnerabilita' critica nel demone telnetd,
appartenente al gruppo di utility GNU inetutils.
Questa vulnerabilita' consiste nel non sanificare correttamente l'input
e consente ad un attaccante remoto di aggirare meccanismi di autenticazione
permettendo da remoto la login di root.
La CVE (CVE-2026-24061) ha uno score CVSS di 9.8 e purtroppo al momento
viene sfruttata in maniera intensiva da utenti malintenzionati.
Esiste una patch solo per la distribuzione Debian, le altre distribuzioni
linux e altri sistemi non Linux non hanno ancora disponibili patch,
solo un workaroud di mitigazione oneroso (v. la sezione Soluzioni),
per questo consigliamo vivamente di disabilitare del tutto telnetd
e limitare l'accesso agli IP strettamente necessari
dove non sia possibile la dismissione.
:: Software interessato
GNU inetutils dalla versione 1.9.3 alla versione 2.7 inclusa
:: Impatto
Bypass del sistema di autenticazione
Accesso privilegiato (root) da remoto
:: Soluzioni
Distribuzione Linux Debian: aggiornare all'ultima versione
Debian bullseye versione 2:2.0-1+deb11u3
Debian bookworm versione 2:2.4-2+deb12u2
Debian trixie versione 2:2.6-3+deb13u1
Debian sid (unstable) versione 2:2.7-2
Per tutti gli altri Linux esiste un workaround:
dire al demone telnetd di usare il programma login(1) modificato
per non permettere l'opzione -f
Per fare questo dobbiamo intervenire sui sorgenti di telnetd alla sezione
/* Template command line for invoking login program. */
Agli indirizzi seguenti ci sono proposte di patch per mitigare il problema,
ovviamente poi andra' ricompilato a mano
https://codeberg.org/inetutils/inetutils/commit/fd702c02497b2f398e739e3119bed0b23dd7aa7b
https://codeberg.org/inetutils/inetutils/commit/ccba9f748aa8d50a38d7748e2e60362edd6a32cc
NOTA: Si consiglia di disabilitare telnetd
:: Riferimenti
GNU advisory
https://lists.gnu.org/archive/html/bug-inetutils/2026-01/msg00004.html
Open Source Security Mailing-list
https://seclists.org/oss-sec/2026/q1/89
Debian security Advisory
https://security-tracker.debian.org/tracker/CVE-2026-24061
https://lists.debian.org/debian-lts-announce/2026/01/msg00025.html
the Hacker News
https://thehackernews.com/2026/01/critical-gnu-inetutils-telnetd-flaw.html
Il Software.it
https://www.ilsoftware.it/vulnerabilita-critica-in-telnetd-consente-accesso-root-remoto-a-tutti-dopo-11-anni/
CSIRT Italia
https://www.acn.gov.it/portale/w/gnu-rilevato-sfruttamento-in-rete-della-cve-2026-24061
Mitre CVE
https://www.cve.org/CVERecord?id=CVE-2026-24061
GARR CERT Security Alert - subscribe/unsubscribe:
https://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaXoInwAKCRDBnEyTZRJg
QqEcAJ9QNQoQlwvT74K4O4/1MFFIf415sQCcDiO22YbLQgzfnQTWGhg8XXLyljw=
=HCWB
-----END PGP SIGNATURE-----