Po 14 měsících vývoje byla vydána sada GNU inetutils 2.5 s kolekcí síťových programů, z nichž většina byla přenesena ze systémů BSD. Konkrétně zahrnuje inetd a syslogd, servery a klienty pro ftp, telnet, rsh, rlogin, tftp a talk, stejně jako typické nástroje jako ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger atd. .P.
Nová verze odstraňuje zranitelnost (CVE-2023-40303) v suid programech ftpd, rcp, rlogin, rsh, rshd a uucpd způsobenou nedostatečným ověřením hodnot vrácených setuid(), setgid(), funkce seteuid() a setguid() . Zranitelnost lze použít k vytvoření podmínek, kdy volání set*id() neresetuje oprávnění a aplikace bude nadále pracovat se zvýšenými oprávněními a provádět pod nimi operace, které byly původně navrženy pro práci s právy neprivilegovaného uživatele. Například procesy ftpd, uucpd a rshd spuštěné jako root budou po spuštění uživatelských relací pokračovat v běhu jako root, pokud set*id() selže.
Kromě odstranění zranitelností a drobných chyb přidává nová verze do utility ping6 podporu zpráv ICMPv6 s informací o nedosažitelnosti cílového hostitele („destination unreachable“, RFC 4443).
Zdroj: opennet.ru