Després de 14 mesos de desenvolupament, es va llançar la suite GNU inetutils 2.5 amb una col·lecció de programes de xarxa, la majoria dels quals es van transferir des de sistemes BSD. En particular, inclou inetd i syslogd, servidors i clients per a ftp, telnet, rsh, rlogin, tftp i talk, així com utilitats típiques com ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, etc. .P.
La nova versió elimina una vulnerabilitat (CVE-2023-40303) en els programes suid ftpd, rcp, rlogin, rsh, rshd i uucpd, causada per la manca de verificació dels valors retornats per setuid(), setgid(), Funcions seteuid() i setguid(). La vulnerabilitat es pot utilitzar per crear condicions en què cridar a set*id() no restablirà privilegis i l'aplicació continuarà funcionant amb privilegis elevats i realitzant operacions sota ells que es van dissenyar originalment per funcionar amb els drets d'un usuari sense privilegis. Per exemple, els processos ftpd, uucpd i rshd que s'executen com a root continuaran executant-se com a root després que s'iniciïn les sessions d'usuari si set*id() falla.
A més d'eliminar vulnerabilitats i errors menors, la nova versió afegeix suport per als missatges ICMPv6 amb informació sobre l'inaccessibilitat de l'amfitrió objectiu ("destinació inabastable", RFC 6) a la utilitat ping4443.
Font: opennet.ru