De resultaten van fuzzing-tests van het OpenBSD ping-hulpprogramma zijn gepubliceerd na de recente ontdekking van een op afstand exploiteerbare kwetsbaarheid in het ping-hulpprogramma dat bij FreeBSD wordt geleverd. Het ping-hulpprogramma dat in OpenBSD wordt gebruikt, wordt niet beïnvloed door het probleem dat in FreeBSD is geïdentificeerd (de kwetsbaarheid is aanwezig in de nieuwe implementatie van de pr_pack()-functie, herschreven door de FreeBSD-ontwikkelaars in 2019), maar tijdens de test kwam er een andere bug naar voren die was gebleven 24 jaar lang onopgemerkt gebleven. De fout veroorzaakt een oneindige lus bij het verwerken van een antwoord met een optieveld van nulgrootte in een IP-pakket. De oplossing is al meegeleverd met OpenBSD. Het probleem wordt niet als een kwetsbaarheid beschouwd omdat de netwerkstack in de OpenBSD-kernel niet toestaat dat dergelijke pakketten de gebruikersruimte binnendringen.
Bron: opennet.ru