Die Ergebnisse der Fuzzing-Tests des OpenBSD-Ping-Dienstprogramms wurden veröffentlicht, nachdem kürzlich eine aus der Ferne ausnutzbare Schwachstelle im Ping-Dienstprogramm von FreeBSD entdeckt wurde. Das in OpenBSD verwendete Ping-Dienstprogramm ist von dem in FreeBSD identifizierten Problem nicht betroffen (die Schwachstelle liegt in der neuen Implementierung der Funktion pr_pack() vor, die 2019 von den FreeBSD-Entwicklern neu geschrieben wurde), aber während des Tests trat ein weiterer Fehler auf, der bestehen geblieben war 24 Jahre lang unentdeckt. Der Fehler verursacht eine Endlosschleife, wenn eine Antwort mit einem Optionsfeld der Größe Null in einem IP-Paket verarbeitet wird. Der Fix ist bereits in OpenBSD enthalten. Das Problem wird nicht als Schwachstelle betrachtet, da der Netzwerkstapel im OpenBSD-Kernel es solchen Paketen nicht erlaubt, in den Benutzerbereich zu gelangen.
Source: opennet.ru