Ang usa ka kahuyang (CVE-2018-25032) nahibal-an sa zlib library, nga misangpot sa usa ka buffer overflow sa dihang misulay sa pag-compress sa usa ka espesyal nga giandam nga han-ay sa mga karakter sa umaabot nga datos. Sa kasamtangan nga porma niini, gipakita sa mga tigdukiduki ang abilidad sa paghimo sa usa ka proseso nga dili normal nga matapos. Kung ang problema mahimong adunay labi ka grabe nga sangputanan wala pa gitun-an.
Ang kahuyang makita sugod sa bersyon zlib 1.2.2.2 ug makaapekto usab sa kasamtangan nga pagpagawas sa zlib 1.2.11. Mamatikdan nga ang usa ka patch aron matul-id ang pagkahuyang gisugyot balik sa 2018, apan ang mga developers wala magtagad niini ug wala magpagawas sa usa ka corrective release (ang zlib librarya ang katapusan nga gi-update sa 2017). Ang pag-ayo wala pa usab gilakip sa mga pakete nga gitanyag sa mga pag-apod-apod. Mahimo nimong masubay ang publikasyon sa mga pag-ayo pinaagi sa pag-apod-apod niini nga mga panid: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Ang zlib-ng librarya wala maapektuhan sa problema.
Ang pagkahuyang mahitabo kung ang input stream adunay daghang gidaghanon sa mga posporo nga i-pack, diin ang pag-pack gipadapat base sa naayos nga Huffman code. Ubos sa pipila ka mga kahimtang, ang mga sulod sa intermediate buffer diin ang compressed nga resulta gibutang mahimong magsapaw sa memorya diin ang simbolo frequency table gitipigan. Ingon usa ka sangputanan, ang dili husto nga na-compress nga datos namugna ug nahagsa tungod sa pagsulat sa gawas sa utlanan sa buffer.
Ang pagkahuyang mahimo ra mapahimuslan gamit ang usa ka estratehiya sa compression base sa naayos nga mga code sa Huffman. Ang usa ka susama nga estratehiya gipili kung ang opsyon sa Z_FIXED klaro nga gipagana sa code (usa ka pananglitan sa usa ka han-ay nga mosangpot sa pagkahagsa kon gamiton ang opsyon sa Z_FIXED). Sa paghukom sa code, ang Z_FIXED nga estratehiya mahimo usab nga mapili nga awtomatiko kung ang kamalaumon ug static nga mga kahoy nga gikalkula alang sa datos adunay parehas nga gidak-on.
Dili pa klaro kung ang mga kondisyon alang sa pagpahimulos sa pagkahuyang mahimo nga mapili gamit ang default nga Z_DEFAULT_STRATEGY nga estratehiya sa compression. Kung dili, nan ang pagkahuyang mahimong limitado sa piho nga mga sistema nga klaro nga naggamit sa kapilian nga Z_FIXED. Kung mao, nan ang kadaot gikan sa pagkahuyang mahimong hinungdanon kaayo, tungod kay ang zlib library usa ka de facto nga sukaranan ug gigamit sa daghang mga sikat nga proyekto, lakip ang Linux kernel, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg , rpm, Git, PostgreSQL, MySQL, ug uban pa.
Source: opennet.ru