2007年2月14日

Solaris 10, 11 に telnet 脆弱性

情報源は以下の通り

Solaris 10/11にtelnetログインの脆弱性
Solaris Telnet 0-day vulnerability
Solaris telnet 0-day
* Another good reason to stop using telnet


最初に驚いたのが、
「Solarisっていまだにデフォルトで telnetd が動くんだ?!?!!」
という事。それは危険だから止めろというのは、ここ10年ぐらいの常識だと思っていたのだが…。

次に驚いたのが、特に何のツールもいらないというこの「攻撃方法のお手軽さ」。これはやばすぎるでしょう。

最後にこういうものがあるのだが、実はこいつ、システム監視をするのに監視するマシンへの telnet ログインを前提としているという
どうしてくれようこいつは
な仕様だったりする。せめて ssh にするぐらいの発想は無かったのか…。

こういう深く考えていない監視系プログラムがゴロゴロしている以上、この手の vulnerability って、実は技術者(というか、この世の常識をわかっている一部の人達の集団)が想像するのの何万倍も実はやばい。