După 14 luni de dezvoltare, suita GNU inetutils 2.5 a fost lansată cu o colecție de programe de rețea, dintre care majoritatea au fost transferate din sistemele BSD. În special, include inetd și syslogd, servere și clienți pentru ftp, telnet, rsh, rlogin, tftp și talk, precum și utilități tipice precum ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger etc. .P.
Noua versiune elimină o vulnerabilitate (CVE-2023-40303) în programele suid ftpd, rcp, rlogin, rsh, rshd și uucpd, cauzată de lipsa verificării valorilor returnate de setuid(), setgid(), Funcțiile seteuid() și setguid() . Vulnerabilitatea poate fi folosită pentru a crea condiții în care apelarea set*id() nu va reseta privilegiile și aplicația va continua să funcționeze cu privilegii ridicate și să efectueze operațiuni sub acestea care au fost concepute inițial pentru a funcționa cu drepturile unui utilizator neprivilegiat. De exemplu, procesele ftpd, uucpd și rshd care rulează ca root vor continua să ruleze ca root după începerea sesiunilor utilizator dacă set*id() eșuează.
Pe lângă eliminarea vulnerabilităților și erorilor minore, noua versiune adaugă suport pentru mesajele ICMPv6 cu informații despre imposibilitatea de accesare a gazdei țintă („destinație inaccesabilă”, RFC 6) la utilitarul ping4443.
Sursa: opennet.ru