Post 14 monatoj da evoluo, la GNU inetutils 2.5 serio estis publikigita kun kolekto de interkonektaj programoj, la plej multaj el kiuj estis transdonitaj de BSD-sistemoj. Aparte, ĝi inkluzivas inetd kaj syslogd, servilojn kaj klientojn por ftp, telnet, rsh, rlogin, tftp kaj talk, same kiel tipajn ilojn kiel ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, ktp. .P.
La nova versio forigas vundeblecon (CVE-2023-40303) en la suid programoj ftpd, rcp, rlogin, rsh, rshd kaj uucpd, kaŭzita de manko de kontrolo de valoroj redonitaj de la setuid(), setgid(), seteuid() kaj setguid() funkcioj. La vundebleco povas esti uzata por krei kondiĉojn kie voki set*id() ne restarigos privilegiojn kaj la aplikaĵo daŭre funkcios kun altigitaj privilegioj kaj plenumos operaciojn sub ili, kiuj estis origine dezajnitaj por labori kun la rajtoj de senprivilegia uzanto. Ekzemple, ftpd, uucpd, kaj rshd procezoj kurantaj kiel radiko daŭros funkcii kiel radiko post kiam la uzantsesioj komenciĝas se set*id() malsukcesas.
Krom forigi vundeblecojn kaj negravajn erarojn, la nova versio aldonas subtenon por ICMPv6-mesaĝoj kun informoj pri la neatingebleco de la cela gastiganto ("destino neatingebla", RFC 6) al la ping4443-utilo.
fonto: opennet.ru