Les résultats des tests de fuzzing de l'utilitaire ping d'OpenBSD ont été publiés suite à la récente découverte d'une vulnérabilité exploitable à distance dans l'utilitaire ping fourni avec FreeBSD. L'utilitaire ping utilisé dans OpenBSD n'est pas affecté par le problème identifié dans FreeBSD (la vulnérabilité est présente dans la nouvelle implémentation de la fonction pr_pack(), réécrite par les développeurs de FreeBSD en 2019), mais lors du test, un autre bug est apparu qui était resté indétectable depuis 24 ans. L'erreur provoque une boucle infinie lors du traitement d'une réponse avec un champ d'option de taille nulle dans un paquet IP. Le correctif est déjà inclus avec OpenBSD. Le problème n'est pas considéré comme une vulnérabilité car la pile réseau du noyau OpenBSD ne permet pas à de tels paquets d'entrer dans l'espace utilisateur.
Source: opennet.ru