B
今週中
GNU inetutilsのtelnetd 2.7以前に、認証前のリモートコード実行(RCE)が可能なバッファオーバーフローの脆弱性
📌 一言でいうと
GNU inetutilsのtelnetd 2.7以前に、認証前のリモートコード実行(RCE)が可能なバッファオーバーフローの脆弱性が発見されました。この脆弱性は、slc.c内のadd_slc()関数が固定長のバッファにデータを書き込む際に発生します。CVSSスコアは9.8と非常に高く、攻撃者はネットワーク経由でシステムを完全に制御できる可能性があります。
🔍該当判定
- Linuxサーバーで『telnetd』というソフトをインストールして利用している
- サーバーへのリモートログインに、SSHではなく『Telnet』を使用している
- GNU inetutilsのtelnetd バージョン2.7以前を運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
最新のパッチを適用するか、telnetdの利用を停止し、SSHなどの安全な代替プロトコルへ移行することを強く推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GNU inetutils-telnetd CVE-2026-32746 対応について
お疲れさまです。telnetdの深刻な脆弱性に関する情報共有です。
■ 概要
GNU inetutils-telnetdのslc.cにおけるバッファオーバーフローにより、認証なしでリモートからコードが実行される可能性があります。CVSS v3スコアは9.8 (Critical) と極めて高く、即時の対応が推奨されます。
■ 影響範囲
- 対象製品: GNU inetutils-telnetd
- 対象バージョン: 2.7 までのバージョン
■ 対応手順
1. 影響を受けるサーバーでtelnetdのバージョンを確認してください。
2. ベンダーが提供する最新のパッチを適用してください(PR #17参照)。
3. 可能な限りtelnetdを停止し、SSH等の暗号化プロトコルへの移行を検討してください。
■ 参考情報
- GNU Disclosure: https://lists.gnu.org/archive/html/bug-inetutils/2026-03/msg00031.html
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-32746
対応優先度: 高
対応期限: 至急
お疲れさまです。telnetdの深刻な脆弱性に関する情報共有です。
■ 概要
GNU inetutils-telnetdのslc.cにおけるバッファオーバーフローにより、認証なしでリモートからコードが実行される可能性があります。CVSS v3スコアは9.8 (Critical) と極めて高く、即時の対応が推奨されます。
■ 影響範囲
- 対象製品: GNU inetutils-telnetd
- 対象バージョン: 2.7 までのバージョン
■ 対応手順
1. 影響を受けるサーバーでtelnetdのバージョンを確認してください。
2. ベンダーが提供する最新のパッチを適用してください(PR #17参照)。
3. 可能な限りtelnetdを停止し、SSH等の暗号化プロトコルへの移行を検討してください。
■ 参考情報
- GNU Disclosure: https://lists.gnu.org/archive/html/bug-inetutils/2026-03/msg00031.html
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-32746
対応優先度: 高
対応期限: 至急
Subject: [Security Advisory] GNU inetutils-telnetd CVE-2026-32746 Mitigation
Dear IT Security Team,
We are sharing critical information regarding a vulnerability in GNU inetutils-telnetd.
■ Overview
A buffer overflow vulnerability in the add_slc() function of telnetd/slc.c allows for unauthenticated Remote Code Execution (RCE). The CVSS v3 score is 9.8 (Critical), indicating a high risk of full system compromise.
■ Scope
- Product: GNU inetutils-telnetd
- Affected Versions: Versions up to and including 2.7
■ Mitigation Steps
1. Identify all servers running the affected version of telnetd.
2. Apply the latest security patches provided by the vendor (refer to PR #17).
3. Strongly consider disabling telnetd and migrating to secure alternatives such as SSH.
■ Reference
- GNU Disclosure: https://lists.gnu.org/archive/html/bug-inetutils/2026-03/msg00031.html
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-32746
Priority: High
Deadline: Immediate
Dear IT Security Team,
We are sharing critical information regarding a vulnerability in GNU inetutils-telnetd.
■ Overview
A buffer overflow vulnerability in the add_slc() function of telnetd/slc.c allows for unauthenticated Remote Code Execution (RCE). The CVSS v3 score is 9.8 (Critical), indicating a high risk of full system compromise.
■ Scope
- Product: GNU inetutils-telnetd
- Affected Versions: Versions up to and including 2.7
■ Mitigation Steps
1. Identify all servers running the affected version of telnetd.
2. Apply the latest security patches provided by the vendor (refer to PR #17).
3. Strongly consider disabling telnetd and migrating to secure alternatives such as SSH.
■ Reference
- GNU Disclosure: https://lists.gnu.org/archive/html/bug-inetutils/2026-03/msg00031.html
- NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-32746
Priority: High
Deadline: Immediate