Após 14 meses de desenvolvimento, o conjunto GNU inetutils 2.5 foi lançado com uma coleção de programas de rede, a maioria dos quais foram transferidos de sistemas BSD. Em particular, inclui inetd e syslogd, servidores e clientes para ftp, telnet, rsh, rlogin, tftp e talk, bem como utilitários típicos como ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, etc. .P.
A nova versão elimina uma vulnerabilidade (CVE-2023-40303) nos programas suid ftpd, rcp, rlogin, rsh, rshd e uucpd, causada pela falta de verificação dos valores retornados pelos setuid(), setgid(), Funções seteuid() e setguid(). A vulnerabilidade pode ser usada para criar condições em que a chamada de set*id() não redefinirá os privilégios e o aplicativo continuará a trabalhar com privilégios elevados e a executar operações sob eles que foram originalmente projetadas para funcionar com os direitos de um usuário sem privilégios. Por exemplo, os processos ftpd, uucpd e rshd executados como root continuarão a ser executados como root após o início das sessões do usuário se set*id() falhar.
Além de eliminar vulnerabilidades e pequenos erros, a nova versão adiciona suporte a mensagens ICMPv6 com informações sobre a inacessibilidade do host alvo (“destino inacessível”, RFC 6) ao utilitário ping4443.
Fonte: opennet.ru