14 hónapos fejlesztés után megjelent a GNU inetutils 2.5 csomag hálózati programok gyűjteményével, amelyek többsége BSD-rendszerekből került át. Konkrétan ide tartozik az inetd és a syslogd, az ftp, telnet, rsh, rlogin, tftp és talk szerverek és kliensek, valamint olyan tipikus segédprogramok, mint a ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger stb. .P.
Az új verzió kiküszöböl egy sebezhetőséget (CVE-2023-40303) az ftpd, rcp, rlogin, rsh, rshd és uucpd suid programokban, amelyet a setuid(), setgid() által visszaadott értékek ellenőrzésének hiánya okoz. seteuid() és setguid() függvények . A sérülékenység felhasználható olyan állapotok létrehozására, amikor a set*id() meghívása nem állítja vissza a jogosultságokat, és az alkalmazás továbbra is emelt szintű jogosultságokkal fog működni, és olyan műveleteket hajt végre ezek alatt, amelyeket eredetileg arra terveztek, hogy egy nem jogosult felhasználó jogaival működjenek. Például a rootként futó ftpd, uucpd és rshd folyamatok továbbra is rootként futnak a felhasználói munkamenetek elindulása után, ha a set*id() sikertelen.
A sérülékenységek és a kisebb hibák kiküszöbölése mellett az új verzió támogatja a ping6 segédprogramot a célállomás elérhetetlenségére vonatkozó információkat tartalmazó ICMPv6-üzenetekhez („cél elérhetetlen”, RFC 4443).
Forrás: opennet.ru