সুইড অ্যাপ্লিকেশনে দুর্বলতার জন্য ফিক্স সহ GNU inetutils 2.5 প্রকাশ করা

14 মাস বিকাশের পর, GNU inetutils 2.5 স্যুট নেটওয়ার্ক প্রোগ্রামগুলির একটি সংগ্রহের সাথে প্রকাশ করা হয়েছিল, যার বেশিরভাগ BSD সিস্টেম থেকে স্থানান্তরিত হয়েছিল। বিশেষ করে, এতে inetd এবং syslogd, ftp, telnet, rsh, rlogin, tftp এবং টক এর জন্য সার্ভার এবং ক্লায়েন্ট, সেইসাথে ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, লগার ইত্যাদির মতো সাধারণ ইউটিলিটি অন্তর্ভুক্ত রয়েছে। .পি.

নতুন সংস্করণটি suid প্রোগ্রাম ftpd, rcp, rlogin, rsh, rshd এবং uucpd-এ একটি দুর্বলতা (CVE-2023-40303) দূর করে, যা setuid(), setgid(), দ্বারা প্রত্যাবর্তিত মান যাচাইয়ের অভাবের কারণে ঘটে। seteuid() এবং setguid() ফাংশন। দুর্বলতা এমন পরিস্থিতি তৈরি করতে ব্যবহার করা যেতে পারে যেখানে কলিং সেট*আইডি() বিশেষাধিকারের পুনরায় সেট করার দিকে পরিচালিত করবে না এবং অ্যাপ্লিকেশনটি উন্নত বিশেষাধিকারের সাথে কাজ করতে থাকবে এবং তাদের অধীনে ক্রিয়াকলাপগুলি সম্পাদন করবে যা মূলত একটি সুবিধাবঞ্চিতদের অধিকার নিয়ে কাজ করার জন্য ডিজাইন করা হয়েছিল। ব্যবহারকারী উদাহরণস্বরূপ, রুট হিসাবে চলমান ftpd, uucpd এবং rshd প্রক্রিয়াগুলি সেট*id() ব্যর্থ হলে ব্যবহারকারীর সেশন শুরু হওয়ার পরে রুট হিসাবে চলতে থাকবে।

দুর্বলতা এবং ছোটখাটো ত্রুটিগুলি দূর করার পাশাপাশি, ping6 ইউটিলিটির নতুন সংস্করণ ICMPv6 বার্তাগুলির জন্য সমর্থন যোগ করে যাতে লক্ষ্য হোস্টের ("গন্তব্যে পৌঁছানো যায় না", RFC 4443) সম্পর্কে তথ্য রয়েছে।

উত্স: opennet.ru