Despois de 14 meses de desenvolvemento, lanzouse a suite GNU inetutils 2.5 cunha colección de programas de rede, a maioría dos cales foron transferidos desde sistemas BSD. En particular, inclúe inetd e syslogd, servidores e clientes para ftp, telnet, rsh, rlogin, tftp e talk, así como utilidades típicas como ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, etc. .P.
A nova versión elimina unha vulnerabilidade (CVE-2023-40303) nos programas suid ftpd, rcp, rlogin, rsh, rshd e uucpd, causada pola falta de verificación dos valores devoltos polo setuid(), setgid(), funcións seteuid() e setguid(). A vulnerabilidade pódese usar para crear condicións nas que a chamada a set*id() non restablecerá os privilexios e a aplicación seguirá funcionando con privilexios elevados e realizando operacións baixo eles que foron deseñadas orixinalmente para funcionar cos dereitos dun usuario sen privilexios. Por exemplo, os procesos ftpd, uucpd e rshd que se executan como root seguirán executándose como root despois de que se inicien as sesións de usuario se falla set*id().
Ademais de eliminar vulnerabilidades e pequenos erros, a nova versión engade soporte para mensaxes ICMPv6 con información sobre a inalcanzable do host de destino ("destino inalcanzable", RFC 6) á utilidade ping4443.
Fonte: opennet.ru