Objet: Vulnérabilité dans telnetd

Le 20 janvier 2026, les détails de la vulnérabilité CVE-2026-24061, affectant telnetd, ont été publiés.

Cette vulnérabilité permet à un attaquant de contourner l'authentification et de se connecter à une machine vulnérable en tant que l'utilisateur root.

Elle a été introduite en mars 2015 et affecte GNU InetUtils versions 1.9.3 à 2.7. Aucun correctif officiel n'est disponible pour l'instant.

De plus, cette vulnérabilité est triviale à exploiter et un code d'exploitation est publiquement disponible.

Le CERT-FR constate de nombreux services telnet accessibles sur Internet, ce qui est contraire aux bonnes pratiques.

Le CERT-FR recommande donc le décommissionnement de tout service telnet.
Si cela n'est pas possible :

1. il faut a minima ne pas l'exposer directement sur Internet ;
2. restreindre l'accès à un minimum d'adresses ip de confiance ;
3. appliquer les correctifs dès que ceux-ci seront disponibles.

[Mise à jour du 21 mai 2025]

Le 29 avril 2026 un correctif a été publié pour la vulnérabilité CVE-2026-24061. Il est inclus dans la version 2.8 de GNU InetUtils (cf. section Documentation [4]).

Documentation

1. https://www.openwall.com/lists/oss-security/2026/01/20/2
2. https://nvd.nist.gov/vuln/detail/CVE-2026-24061
3. Recommandations pour un usage sécurisé d’(Open)SSH
   https://messervices.cyber.gouv.fr/documents-guides/NT_OpenSSH.pdf
4. https://codeberg.org/inetutils/inetutils/src/branch/master/NEWS.md