Les résultats d'un test fuzz de l'utilitaire ping d'OpenBSD ont été publiés, suite à la récente découverte d'une vulnérabilité exploitable à distance dans l'utilitaire ping fourni avec FreeBSD. L'utilitaire ping utilisé sous OpenBSD n'est pas affecté par le problème détecté sous FreeBSD (la vulnérabilité est présente dans la nouvelle implémentation de la fonction pr_pack(), réécrite par les développeurs de FreeBSD en 2019), mais un autre bug, passé inaperçu pendant 24 ans, est apparu lors du test. Ce bug provoque une boucle infinie lors du traitement d'une réponse contenant un champ d'option de taille nulle dans un paquet IP. Un correctif a déjà été inclus dans OpenBSD. Ce problème n'est pas considéré comme une vulnérabilité, car la pile réseau du noyau OpenBSD n'autorise pas l'accès de tels paquets à l'espace utilisateur.
Source: opennet.ru
