Saatos 14 bulan pangwangunan, GNU inetutils 2.5 suite dileupaskeun sareng kumpulan program jejaring, anu kalolobaanana ditransfer tina sistem BSD. Khususna, kalebet inetd sareng syslogd, server sareng klien pikeun ftp, telnet, rsh, rlogin, tftp sareng obrolan, ogé utilitas khas sapertos ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, jsb. .P.
Versi anyar ngaleungitkeun kerentanan (CVE-2023-40303) dina program suid ftpd, rcp, rlogin, rsh, rshd sareng uucpd, disababkeun ku kurangna verifikasi nilai anu dipulangkeun ku setuid (), setgid (), seteuid () sarta setguid () fungsi. Kerentanan bisa dipaké pikeun nyieun kaayaan dimana nelepon set * id () moal ngareset hak husus sarta aplikasi bakal neruskeun gawé bareng jeung hak husus elevated tur ngalakukeun operasi handapeun aranjeunna anu asalna dirancang pikeun gawé kalawan hak pamaké unprivileged. Salaku conto, prosés ftpd, uucpd, sareng rshd anu dijalankeun salaku akar bakal terus dijalankeun salaku akar saatos sési pangguna ngamimitian upami set * id () gagal.
Salian ngaleungitkeun kerentanan sareng kasalahan leutik, versi énggal tina utilitas ping6 nambihan dukungan pikeun pesen ICMPv6 kalayan inpormasi ngeunaan henteu tiasa dicapai host target ("tujuan teu tiasa dicapai", RFC 4443).
sumber: opennet.ru