หลังจากการพัฒนาเป็นเวลา 14 เดือน ชุด GNU inetutils 2.5 ก็ออกมาพร้อมกับคอลเลกชันโปรแกรมเครือข่าย ซึ่งส่วนใหญ่ถ่ายโอนมาจากระบบ BSD โดยเฉพาะอย่างยิ่ง ประกอบด้วย inetd และ syslogd เซิร์ฟเวอร์และไคลเอนต์สำหรับ ftp, telnet, rsh, rlogin, tftp และ talk รวมถึงยูทิลิตี้ทั่วไป เช่น ping, ping6, Traceroute, whois, ชื่อโฮสต์, dnsdomainname, ifconfig, logger เป็นต้น .ป.
เวอร์ชันใหม่กำจัดช่องโหว่ (CVE-2023-40303) ในโปรแกรม suid ftpd, rcp, rlogin, rsh, rshd และ uucpd ซึ่งเกิดจากการขาดการตรวจสอบค่าที่ส่งคืนโดย setuid(), setgid() ฟังก์ชัน seteuid() และ setguid() ช่องโหว่นี้สามารถใช้เพื่อสร้างเงื่อนไขที่การเรียก set*id() จะไม่รีเซ็ตสิทธิ์การใช้งาน และแอปพลิเคชันจะยังคงทำงานโดยใช้สิทธิ์ระดับสูง และดำเนินการภายใต้สิทธิ์เหล่านั้นที่เดิมออกแบบมาเพื่อทำงานด้วยสิทธิ์ของผู้ใช้ที่ไม่มีสิทธิ์ ตัวอย่างเช่น กระบวนการ ftpd, uucpd และ rshd ที่ทำงานในฐานะ root จะยังคงทำงานในฐานะ root หลังจากที่เซสชันผู้ใช้เริ่มต้นขึ้น หาก set*id() ล้มเหลว
นอกเหนือจากการขจัดช่องโหว่และข้อผิดพลาดเล็กๆ น้อยๆ แล้ว เวอร์ชันใหม่ยังเพิ่มการรองรับข้อความ ICMPv6 พร้อมข้อมูลเกี่ยวกับความไม่สามารถเข้าถึงได้ของโฮสต์เป้าหมาย (“ไม่สามารถเข้าถึงปลายทาง”, RFC 6) ให้กับยูทิลิตี้ ping4443
ที่มา: opennet.ru