Pēc 14 mēnešu izstrādes tika izlaists GNU inetutils 2.5 komplekts ar tīkla programmu kolekciju, no kurām lielākā daļa tika pārsūtīta no BSD sistēmām. Jo īpaši tas ietver inetd un syslogd, serverus un klientus ftp, telnet, rsh, rlogin, tftp un talk, kā arī tipiskas utilītas, piemēram, ping, ping6, traceroute, whois, resursdatora nosaukums, dnsdomainname, ifconfig, logger utt. .P.
Jaunā versija novērš ievainojamību (CVE-2023-40303) suid programmās ftpd, rcp, rlogin, rsh, rshd un uucpd, ko izraisa setuid(), setgid(), atgriezto vērtību pārbaudes trūkums. seteuid() un setguid() funkcijas . Ievainojamību var izmantot, lai radītu apstākļus, kuros, izsaucot set*id(), netiks atiestatītas privilēģijas, un lietojumprogramma turpinās strādāt ar paaugstinātām privilēģijām un veikt darbības saskaņā ar tām, kas sākotnēji bija paredzētas darbam ar nepievilināta lietotāja tiesībām. Piemēram, ftpd, uucpd un rshd procesi, kas darbojas kā root, turpinās darboties kā root pēc lietotāja sesijas sākuma, ja set*id() neizdodas.
Papildus ievainojamību un nelielu kļūdu novēršanai jaunā versija pievieno ping6 utilītai atbalstu ICMPv6 ziņojumiem ar informāciju par mērķa resursdatora nesasniedzamību (“desination unreachable”, RFC 4443).
Avots: opennet.ru