Efter 14 månaders utveckling släpptes GNU inetutils 2.5-sviten med en samling nätverksprogram, varav de flesta överfördes från BSD-system. I synnerhet inkluderar det inetd och syslogd, servrar och klienter för ftp, telnet, rsh, rlogin, tftp och talk, såväl som typiska verktyg som ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger, etc. .P.
Den nya versionen eliminerar en sårbarhet (CVE-2023-40303) i suidprogrammen ftpd, rcp, rlogin, rsh, rshd och uucpd, orsakad av bristande verifiering av värden som returneras av setuid(), setgid(), seteuid() och setguid() funktioner . Sårbarheten kan användas för att skapa förhållanden där anrop av set*id() inte kommer att återställa privilegier och applikationen kommer att fortsätta att arbeta med förhöjda privilegier och utföra operationer under dem som ursprungligen var designade för att fungera med rättigheterna för en oprivilegierad användare. Till exempel kommer ftpd-, uucpd- och rshd-processer som körs som root att fortsätta att köras som root efter att användarsessionerna startar om set*id() misslyckas.
Förutom att eliminera sårbarheter och mindre fel, lägger den nya versionen till stöd för ICMPv6-meddelanden med information om målvärdens oåtkomlighet ("destination unreachable", RFC 6) till ping4443-verktyget.
Källa: opennet.ru