Pärast 14 kuud kestnud arendustööd anti välja GNU inetutils 2.5 komplekt koos võrguprogrammide kogumiga, millest enamik kanti üle BSD süsteemidest. Eelkõige sisaldab see inetd ja syslogd, servereid ja kliente ftp, telnet, rsh, rlogin, tftp ja talk jaoks, aga ka tüüpilisi utiliite, nagu ping, ping6, traceroute, whois, hostinimi, dnsdomeeninimi, ifconfig, logija jne. .P.
Uus versioon kõrvaldab haavatavuse (CVE-2023-40303) suid-programmides ftpd, rcp, rlogin, rsh, rshd ja uucpd, mis on põhjustatud setuid(), setgid(), tagastatud väärtuste kontrollimise puudumisest. funktsioonid seteuid() ja setguid() . Seda haavatavust saab kasutada tingimuste loomiseks, kus set*id() kutsumine ei lähtesta privileege ning rakendus jätkab tööd kõrgendatud õigustega ja teeb nende alusel toiminguid, mis olid algselt mõeldud töötama privilegeerimata kasutaja õigustega. Näiteks jätkavad administraatorina töötavad ftpd, uucpd ja rshd protsessid pärast kasutajaseansside käivitamist administraatorina, kui set*id() ebaõnnestub.
Lisaks haavatavuste ja pisivigade kõrvaldamisele lisab uus versioon ping6 utiliidile toe ICMPv6 sõnumitele koos teabega sihthosti kättesaamatuse kohta ("sihtkoht kättesaamatu", RFC 4443).
Allikas: opennet.ru