સુઇડ એપ્લિકેશન્સમાં નબળાઈ માટે ફિક્સ સાથે GNU inetutils 2.5 નું પ્રકાશન

14 મહિનાના વિકાસ પછી, GNU inetutils 2.5 સ્યુટ નેટવર્ક પ્રોગ્રામ્સના સંગ્રહ સાથે બહાર પાડવામાં આવ્યું હતું, જેમાંથી મોટા ભાગના BSD સિસ્ટમોમાંથી ટ્રાન્સફર કરવામાં આવ્યા હતા. ખાસ કરીને, તેમાં inetd અને syslogd, સર્વર્સ અને ftp, telnet, rsh, rlogin, tftp અને ટોક માટેના ક્લાયન્ટ્સ તેમજ ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, વગેરે જેવી લાક્ષણિક ઉપયોગિતાઓનો સમાવેશ થાય છે. .પી.

નવું સંસ્કરણ suid પ્રોગ્રામ્સ ftpd, rcp, rlogin, rsh, rshd અને uucpd માં નબળાઈ (CVE-2023-40303) ને દૂર કરે છે, જે setuid(), setgid(), દ્વારા પરત કરવામાં આવેલા મૂલ્યોની ચકાસણીના અભાવને કારણે થાય છે. seteuid() અને setguid() કાર્યો. નબળાઈનો ઉપયોગ એવી પરિસ્થિતિઓ બનાવવા માટે થઈ શકે છે જ્યાં કૉલિંગ સેટ*આઈડી() વિશેષાધિકારોના રીસેટ તરફ દોરી જશે નહીં અને એપ્લિકેશન એલિવેટેડ વિશેષાધિકારો સાથે કામ કરવાનું ચાલુ રાખશે અને તેમની હેઠળ કામગીરી કરશે જે મૂળ રૂપે બિન-વિશેષોના અધિકારો સાથે કામ કરવા માટે રચાયેલ છે. વપરાશકર્તા ઉદાહરણ તરીકે, જો set*id() નિષ્ફળ જાય તો વપરાશકર્તા સત્રો શરૂ થયા પછી રૂટ તરીકે ચાલતી ftpd, uucpd અને rshd પ્રક્રિયાઓ રૂટ તરીકે ચાલુ રહેશે.

નબળાઈઓ અને નાની ભૂલોને દૂર કરવા ઉપરાંત, ping6 યુટિલિટીનું નવું વર્ઝન ICMPv6 સંદેશાઓ માટે ટેકો ઉમેરે છે જેમાં લક્ષ્ય હોસ્ટની અગમ્યતા વિશે માહિતી છે (“ગંતવ્ય અગમ્ય”, RFC 4443).

સોર્સ: opennet.ru