Etter 14 måneders utvikling ble GNU inetutils 2.5-pakken utgitt med en samling nettverksprogrammer, hvorav de fleste ble overført fra BSD-systemer. Spesielt inkluderer det inetd og syslogd, servere og klienter for ftp, telnet, rsh, rlogin, tftp og talk, samt typiske verktøy som ping, ping6, traceroute, whois, vertsnavn, dnsdomainname, ifconfig, logger, etc. .P.
Den nye versjonen eliminerer en sårbarhet (CVE-2023-40303) i suid-programmene ftpd, rcp, rlogin, rsh, rshd og uucpd, forårsaket av manglende verifisering av verdier returnert av setuid(), setgid(), seteuid() og setguid() funksjoner . Sårbarheten kan brukes til å skape forhold der å ringe set*id() ikke vil tilbakestille privilegier og applikasjonen vil fortsette å jobbe med forhøyede privilegier og utføre operasjoner under dem som opprinnelig ble designet for å fungere med rettighetene til en uprivilegert bruker. For eksempel vil ftpd-, uucpd- og rshd-prosesser som kjører som root fortsette å kjøre som root etter at brukerøktene starter hvis set*id() mislykkes.
I tillegg til å eliminere sårbarheter og mindre feil, legger den nye versjonen til støtte for ICMPv6-meldinger med informasjon om målvertens utilgjengelighet ("destination unreachable", RFC 6) til ping4443-verktøyet.
Kilde: opennet.ru