Na 14 maanden ontwikkeling werd de GNU inetutils 2.5-suite uitgebracht met een verzameling netwerkprogramma's, waarvan de meeste werden overgebracht van BSD-systemen. Het omvat in het bijzonder inetd en syslogd, servers en clients voor ftp, telnet, rsh, rlogin, tftp en talk, evenals typische hulpprogramma's zoals ping, ping6, traceroute, whois, hostnaam, dnsdomainname, ifconfig, logger, enz. .P.
De nieuwe versie elimineert een kwetsbaarheid (CVE-2023-40303) in de suid-programma's ftpd, rcp, rlogin, rsh, rshd en uucpd, veroorzaakt door een gebrek aan verificatie van waarden die worden geretourneerd door de setuid(), setgid(), seteuid() en setguid() functies . Het beveiligingslek kan worden gebruikt om omstandigheden te creëren waarin het aanroepen van set*id() de rechten niet opnieuw instelt en de toepassing met verhoogde rechten blijft werken en daaronder bewerkingen uitvoert die oorspronkelijk waren ontworpen om te werken met de rechten van een gebruiker zonder rechten. Zo zullen ftpd-, uucpd- en rshd-processen die als root draaien, als root blijven draaien nadat de gebruikerssessies zijn gestart als set*id() mislukt.
Naast het elimineren van kwetsbaarheden en kleine fouten, voegt de nieuwe versie ondersteuning toe voor ICMPv6-berichten met informatie over de onbereikbaarheid van de doelhost (“destination unreachable”, RFC 6) aan het ping4443-hulpprogramma.
Bron: opennet.ru