🥇GNU inetutils 2.5 suid अनुप्रयोगहरूमा कमजोरी समाधानको साथ जारी गरियो

14 महिनाको विकास पछि, GNU inetutils 2.5 सुइट नेटवर्किङ कार्यक्रमहरूको संग्रहको साथ जारी गरियो, जसमध्ये धेरै जसो BSD प्रणालीहरूबाट हस्तान्तरण गरिएको थियो। विशेष गरी, यसले inetd र syslogd, सर्भरहरू र ftp, telnet, rsh, rlogin, tftp र टकका लागि ग्राहकहरू, साथै ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, आदि जस्ता विशिष्ट उपयोगिताहरू समावेश गर्दछ। P

नयाँ संस्करणले suid कार्यक्रमहरू ftpd, rcp, rlogin, rsh, rshd र uucpd मा कमजोरी (CVE-2023-40303) हटाउँछ, सेटुइड(), सेटगिड(), द्वारा फिर्ता गरिएको मानहरूको प्रमाणीकरणको कमीको कारणले गर्दा। seteuid() र setguid() प्रकार्यहरू। कलिङ सेट*आईडी() ले विशेषाधिकारहरू रिसेट नगर्ने अवस्था सिर्जना गर्न भेद्यता प्रयोग गर्न सकिन्छ र एप्लिकेसनले उन्नत विशेषाधिकारहरूसँग काम गर्न जारी राख्छ र तिनीहरू अन्तर्गत सञ्चालनहरू प्रदर्शन गर्दछ जुन मूल रूपमा एक विशेषाधिकारविहीन प्रयोगकर्ताको अधिकारहरूसँग काम गर्न डिजाइन गरिएको थियो। उदाहरणका लागि, ftpd, uucpd, र rshd प्रक्रियाहरू रूटको रूपमा चलिरहेको छ यदि सेट*id() असफल भएमा प्रयोगकर्ता सत्रहरू सुरु भएपछि रूटको रूपमा चलिरहनेछ।

कमजोरीहरू र साना त्रुटिहरू हटाउनको अतिरिक्त, नयाँ संस्करणले पिंग6 उपयोगितामा लक्षित होस्ट (“गन्तव्य अगम्य”, RFC 6) को पहुँचयोग्यताको बारेमा जानकारी सहित ICMPv4443 सन्देशहरूको लागि समर्थन थप्छ।

स्रोत: opennet.ru

GNU inetutils 2.5 को रिलीज सुइड अनुप्रयोगहरूमा जोखिमको लागि फिक्सको साथ

एक टिप्पणी थप्न Отменить ответ