Después de 14 meses de desarrollo, se lanzó la suite GNU inetutils 2.5 con una colección de programas de red, la mayoría de los cuales fueron transferidos desde sistemas BSD. En particular, incluye inetd y syslogd, servidores y clientes para ftp, telnet, rsh, rlogin, tftp y talk, así como utilidades típicas como ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, etc. .PAG.
La nueva versión elimina una vulnerabilidad (CVE-2023-40303) en los programas suid ftpd, rcp, rlogin, rsh, rshd y uucpd, causada por una falta de verificación de los valores devueltos por setuid(), setgid(), Funciones seteuid() y setguid(). La vulnerabilidad se puede utilizar para crear condiciones en las que llamar a set*id() no restablecerá los privilegios y la aplicación seguirá funcionando con privilegios elevados y realizará operaciones bajo ellos que fueron diseñadas originalmente para funcionar con los derechos de un usuario sin privilegios. Por ejemplo, los procesos ftpd, uucpd y rshd que se ejecutan como root continuarán ejecutándose como root después de que comiencen las sesiones de usuario si set*id() falla.
Además de eliminar vulnerabilidades y errores menores, la nueva versión agrega soporte para mensajes ICMPv6 con información sobre la inaccesibilidad del host de destino (“destino inalcanzable”, RFC 6) a la utilidad ping4443.
Fuente: opennet.ru