Na 14 maande se ontwikkeling is die GNU inetutils 2.5-suite vrygestel met 'n versameling netwerkprogramme, waarvan die meeste vanaf BSD-stelsels oorgedra is. Dit sluit veral inetd en syslogd, bedieners en kliënte vir ftp, telnet, rsh, rlogin, tftp en talk in, sowel as tipiese nutsprogramme soos ping, ping6, traceroute, whois, gasheernaam, dnsdomeinnaam, ifconfig, logger, ens. .P.
Die nuwe weergawe skakel 'n kwesbaarheid (CVE-2023-40303) in die suid-programme ftpd, rcp, rlogin, rsh, rshd en uucpd uit, veroorsaak deur 'n gebrek aan verifikasie van waardes wat deur die setuid(), setgid(), teruggestuur word. seteuid() en setguid() funksies . Die kwesbaarheid kan gebruik word om toestande te skep waar die oproep van set*id() nie regte sal herstel nie en die toepassing sal voortgaan om met verhoogde voorregte te werk en bedrywighede onder hulle uit te voer wat oorspronklik ontwerp is om met die regte van 'n onbevoorregte gebruiker te werk. Byvoorbeeld, ftpd-, uucpd- en rshd-prosesse wat as root loop, sal voortgaan om as root te loop nadat die gebruikersessies begin het as set*id() misluk.
Benewens die uitskakeling van kwesbaarhede en geringe foute, voeg die nuwe weergawe van die ping6-hulpprogram ondersteuning vir ICMPv6-boodskappe by met inligting oor die onbereikbaarheid van die teikengasheer ("bestemming onbereikbaar", RFC 4443).
Bron: opennet.ru