Nach 14 Monaten Entwicklungszeit wurde die GNU inetutils 2.5 Suite mit einer Sammlung von Netzwerkprogrammen veröffentlicht, von denen die meisten von BSD-Systemen übertragen wurden. Insbesondere umfasst es inetd und syslogd, Server und Clients für FTP, Telnet, RSH, Rlogin, TFTP und Talk sowie typische Dienstprogramme wie Ping, Ping6, Traceroute, Whois, Hostname, DNS-Domänenname, Ifconfig, Logger usw. .P.
Die neue Version beseitigt eine Schwachstelle (CVE-2023-40303) in den Suid-Programmen ftpd, rcp, rlogin, rsh, rshd und uucpd, die durch eine fehlende Überprüfung der von setuid(), setgid(), Funktionen seteuid() und setguid() . Die Sicherheitslücke kann genutzt werden, um Bedingungen zu schaffen, unter denen durch den Aufruf von set*id() die Berechtigungen nicht zurückgesetzt werden und die Anwendung weiterhin mit erhöhten Berechtigungen arbeitet und damit Vorgänge ausführt, die ursprünglich für die Arbeit mit den Rechten eines nicht privilegierten Benutzers gedacht waren. Beispielsweise werden ftpd-, uucpd- und rshd-Prozesse, die als Root ausgeführt werden, nach dem Start der Benutzersitzungen weiterhin als Root ausgeführt, wenn set*id() fehlschlägt.
Neben der Beseitigung von Schwachstellen und kleineren Fehlern bietet die neue Version des Dienstprogramms ping6 auch Unterstützung für ICMPv6-Nachrichten mit Informationen über die Nichterreichbarkeit des Zielhosts („destination unreachable“, RFC 4443).
Source: opennet.ru
