Numéro : AL26-002
Date : 22 janvier 2026
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels des TI et aux gestionnaires.
Objet
Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d’information électroniques et à fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.
Détails
Le Centre pour la cybersécurité a été informé d’une vulnérabilité critique touchant le serveur telnetd de GNU InetutilsNote de bas de page 1. En réponse au bulletin de sécurité communiqué le 20 janvier 2026, le Centre pour la cybersécurité a publié le bulletin de sécurité AV26‑047 le 21 janvier 2026Note de bas de page 2.
Publiée sous le numéro CVE-2026-24061Note de bas de page 3, cette vulnérabilité permet d’exécuter une injection d’argument (CWE-88; Improper Neutralization of Argument Delimiters in a Command)Note de bas de page 4 dans le cadre de laquelle le serveur telnetd transmet la variable d’environnement USER au processus d’ouverture de session du système sans nettoyer les arguments. Cette vulnérabilité permet à une attaquante ou un attaquant d’envoyer une valeur comme -f root afin de contourner le mécanisme d’authentification et d’obtenir un accès racine au serveur touchéNote de bas de page 5.
Cette vulnérabilité touche plusieurs distributions ou appliances Linux/UNIX qui installent ou activent le serveur telnetd de GNU Inetutils, en particulier celles sur lesquelles telnet est activé pour une utilisation héritée ou intégrée.
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de mettre à niveau les instances touchées de GNU Inetutils à une version corrigée dès qu’elle est diffusée.
Vous trouverez dans le tableau ci-dessous les versions touchées et corrigées.
| Produit touché | Versions touchées | Versions corrigées |
|---|---|---|
| Serveur telnetd de GNU Inetutils | De la version 1.9.3 à la version 2.7 inclusivement | Version corrigée ultérieure à 2.7 (aucun correctif disponible pour l’instant pour les utilitaires réseau Inetutils) |
Des correctifs sont disponibles pour corriger la vulnérabilité dans telnetd. Ceux-ci doivent toutefois être intégrés aux paquetages des différentes distributions avant leur mise en œuvre. D’ici là, les correctifs ne peuvent être mis en œuvre qu’en les modifiant dans le code (dans telnetd/utility.c), puis en les compilant séparémentNote de bas de page 6.
S’il n’est pas possible d’appliquer les correctifs immédiatement, on recommande aux utilisatrices et utilisateurs de :
- désactiver ou de ne pas exécuter le serveur telnetd, ou;
- restreindre l’accès aux ports telnet aux utilisatrices et utilisateurs autorisés (p. ex. règles de pare-feu, segmentation réseau).
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de passer en revue et de mettre en œuvre ses 10 mesures de sécurité des TI, en mettant l’accent sur ce qui suitNote de bas de page 7 :
- appliquer des correctifs aux applications et aux systèmes d’exploitation;
- renforcer les systèmes d’exploitation et les applications;
- isoler les applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.