Door Anoniem: Door Joep Lunaar: Wijsheid is: wees niet zo stupide producten die een telnet daemon draaien bloot te stellen aan ongeautoriseerde toegang (WAN én LAN), plaats dergelijke producten daarvoor dan tenminste op een afgeschermd VLAN. Het _protocol_ nadeel van telnet is dat het geen encryptie gebruikt voor de login credentials. Als je telnetd nu achter een TLS wrapper (stelnet) had gehangen was dat protocol nadeel opgelost, toch ? Deze bug niet. Maar waarom is het nu precies WEL wijsheid om codebases die tientallen keren groter zijn WEL toegankelijk te maken ? Retorische tegenvraag: wat vertrouw je eerder, Debian als basis voor een webservice of een MS Windows server? nogmaals : + if (slcbuf + sizeof slcbuf - slcptr <= 6) + return; Is het _enige_ dat een 9.8 CVE maakte. Hier staat: als minder dan 6 bytes in slcbuf beschikbaar, return. Dat het een simpel stukje code is, zegt niets, daarvoor moet je het bezien in haar context. De betroffen implementatie van telnet pretendeert heus niet ...