ተጋላጭነት (CVE-2018-25032) በዚሊብ ቤተ-መጽሐፍት ውስጥ ተለይቷል፣ ይህም በተለየ ሁኔታ የተዘጋጀ የቁምፊዎች ቅደም ተከተል በመጪ ውሂብ ውስጥ ለመጨመቅ በሚሞከርበት ጊዜ ወደ ቋት ሞልቶ እንዲፈስ አድርጓል። አሁን ባለው መልኩ ተመራማሪዎች አንድ ሂደት ባልተለመደ ሁኔታ እንዲቋረጥ የማድረግ ችሎታ አሳይተዋል። ችግሩ የበለጠ የከፋ መዘዝ ሊኖረው ይችል እንደሆነ እስካሁን ጥናት አልተደረገም።
ተጋላጭነቱ ከዝሊብ 1.2.2.2 ጀምሮ ይታያል እና አሁን ባለው የዝሊብ 1.2.11 ልቀት ላይም ተጽዕኖ ያሳድራል። በ 2018 የተጋላጭነትን ለማስተካከል ፕላስተር ቀርቦ የነበረ ቢሆንም ገንቢዎቹ ትኩረት አልሰጡትም እና የማስተካከያ ልቀት አልለቀቁም (የዝሊብ ቤተ-መጽሐፍት ለመጨረሻ ጊዜ የዘመነው በ2017 ነበር)። ጥገናው በስርጭት በሚቀርቡት ጥቅሎች ውስጥ ገና አልተካተተም። በነዚህ ገፆች ላይ የጥገናዎችን ህትመቶች በስርጭት መከታተል ይችላሉ፡ Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. የዝሊብ-ንግ ቤተ-መጽሐፍት በችግሩ አልተነካም።
ተጋላጭነቱ የሚከሰተው የግቤት ዥረቱ ብዙ ቁጥር ያላቸው የሚታሸጉ ግጥሚያዎች ካሉት ሲሆን ይህም ማሸግ በቋሚ የሃፍማን ኮዶች ላይ የተመሠረተ ነው። በአንዳንድ ሁኔታዎች, የተጨመቀው ውጤት የተቀመጠበት የመካከለኛው ቋት ይዘቶች የምልክት ድግግሞሽ ሰንጠረዥ የተከማቸበትን ማህደረ ትውስታ ሊደራረብ ይችላል. በውጤቱም፣ ከጠባቂው ወሰን ውጭ በመፃፉ ትክክል ያልሆነ የተጨመቀ መረጃ ይፈጠራል እና ይበላሻል።
ተጋላጭነቱን መጠቀም የሚቻለው በቋሚ የሃፍማን ኮዶች ላይ የተመሰረተ የመጨመቂያ ስልት በመጠቀም ብቻ ነው። የ Z_FIXED አማራጭ በኮዱ ውስጥ በግልፅ ሲነቃ ተመሳሳይ ስልት ይመረጣል (የZ_FIXED አማራጭን ሲጠቀሙ ወደ ብልሽት የሚያመራ ቅደም ተከተል ምሳሌ)። በኮዱ ስንገመግም፣ ለመረጃው የሚሰሉት ጥሩ እና የማይንቀሳቀሱ ዛፎች ተመሳሳይ መጠን ካላቸው የZ_FIXED ስትራቴጂ እንዲሁ በራስ-ሰር ሊመረጥ ይችላል።
የተጋላጭነት መጠቀሚያ ሁኔታዎች በነባሪ የZ_DEFAULT_STRATEGY መጭመቂያ ስልት መመረጥ ይቻል እንደሆነ እስካሁን ግልጽ አይደለም። ካልሆነ፣ ተጋላጭነቱ የZ_FIXED ምርጫን በግልፅ ለሚጠቀሙ የተወሰኑ ስርዓቶች ብቻ የተገደበ ይሆናል። እንደዚያ ከሆነ፣ የዝሊብ ቤተ-መጽሐፍት ትክክለኛ ደረጃ ስለሆነ እና በብዙ ታዋቂ ፕሮጄክቶች ውስጥ ጥቅም ላይ የሚውል በመሆኑ በተጋላጭነት ላይ የሚደርሰው ጉዳት በጣም ትልቅ ሊሆን ይችላል ፣እነዚህም ሊኑክስ ከርነል ፣ OpenSSH ፣ OpenSSL ፣ apache httpd ፣ libpng ፣ FFmpeg ፣ rsync ፣ dpkg , rpm, Git, PostgreSQL, MySQL, ወዘተ.
ምንጭ: opennet.ru