14 oylik rivojlanishdan so'ng GNU inetutils 2.5 to'plami tarmoq dasturlari to'plami bilan chiqarildi, ularning aksariyati BSD tizimlaridan o'tkazildi. Xususan, u inetd va syslogd, ftp, telnet, rsh, rlogin, tftp va talk uchun serverlar va mijozlarni, shuningdek, ping, ping6, traceroute, whois, hostname, dnsdomainname, ifconfig, logger va boshqalar kabi odatiy yordamchi dasturlarni o'z ichiga oladi. .P.
Yangi versiya ftpd, rcp, rlogin, rsh, rshd va uucpd suid dasturlaridagi setuid(), setgid() tomonidan qaytarilgan qiymatlar tekshirilmaganligi sababli yuzaga kelgan zaiflikni (CVE-2023-40303) yo'q qiladi. seteuid() va setguid() funktsiyalari. Zaiflikdan set*id() chaqiruvi imtiyozlarni qayta tiklashga olib kelmaydigan sharoitlarni yaratish uchun ishlatilishi mumkin va ilova yuqori imtiyozlar bilan ishlashda davom etadi va ular ostida dastlab imtiyozsiz huquqlar bilan ishlash uchun mo'ljallangan operatsiyalarni amalga oshiradi. foydalanuvchi. Masalan, root sifatida ishlaydigan ftpd, uucpd va rshd jarayonlari set*id() muvaffaqiyatsiz tugasa, foydalanuvchi seanslari boshlanganidan keyin root sifatida ishlashda davom etadi.
Zaifliklar va kichik xatolarni bartaraf etishdan tashqari, ping6 yordam dasturining yangi versiyasi maqsadli xostga erishib bo'lmaydiganligi haqidagi ma'lumotlarga ega ICMPv6 xabarlarini qo'llab-quvvatlaydi ("maqsadga erishib bo'lmaydi", RFC 4443).
Manba: opennet.ru