I risultati del test fuzzing dell'utilità ping di OpenBSD sono stati pubblicati in seguito alla recente scoperta di una vulnerabilità sfruttabile da remoto nell'utilità ping fornita con FreeBSD. L'utilità ping utilizzata in OpenBSD non è interessata dal problema identificato in FreeBSD (la vulnerabilità è presente nella nuova implementazione della funzione pr_pack(), riscritta dagli sviluppatori di FreeBSD nel 2019), ma durante il test è emerso un altro bug che era rimasto inosservato per 24 anni. L'errore provoca un ciclo infinito durante l'elaborazione di una risposta con un campo di opzione di dimensione zero in un pacchetto IP. La correzione è già inclusa in OpenBSD. Il problema non è considerato una vulnerabilità perché lo stack di rete nel kernel OpenBSD non consente a tali pacchetti di entrare nello spazio utente.
Fonte: opennet.ru