Po 14 miesiącach prac wydano pakiet GNU inetutils 2.5 z kolekcją programów sieciowych, z których większość została przeniesiona z systemów BSD. W szczególności obejmuje inetd i syslogd, serwery i klientów FTP, telnet, rsh, rlogin, tftp i talk, a także typowe narzędzia, takie jak ping, ping6, traciroute, whois, nazwa hosta, nazwa domeny dns, ifconfig, logger itp. .P.
Nowa wersja eliminuje lukę (CVE-2023-40303) w programach suid ftpd, rcp, rlogin, rsh, rshd i uucpd, spowodowaną brakiem weryfikacji wartości zwracanych przez setuid(), setgid(), Funkcje seteuid() i setguid(). Lukę można wykorzystać do stworzenia warunków, w których wywołanie set*id() nie spowoduje zresetowania uprawnień, a aplikacja będzie nadal działać z podwyższonymi uprawnieniami i wykonywać w ich ramach operacje, które pierwotnie zostały zaprojektowane do pracy z uprawnieniami nieuprzywilejowanego użytkownika. Na przykład procesy ftpd, uucpd i rshd działające jako root będą nadal działać jako root po rozpoczęciu sesji użytkownika, jeśli set*id() zakończy się niepowodzeniem.
Oprócz wyeliminowania luk i drobnych błędów, nowa wersja dodaje obsługę komunikatów ICMPv6 z informacją o nieosiągalności hosta docelowego („destination unreachable”, RFC 6) do narzędzia ping4443.
Źródło: opennet.ru