Diweddariad XZ Utils 5.8.1 gyda thrwsiad bregusrwydd

Mae rhyddhau pecyn XZ Utils 5.8.1 wedi'i gyhoeddi, gan gynnwys y llyfrgell liblzma a chyfleustodau ar gyfer gweithio gyda data cywasgedig yn y fformat β€œ.xz”. XZ Utils 5.8.1 oedd y datganiad arwyddocaol cyntaf ar Γ΄l y digwyddiad gyda darganfod drws cefn a drefnodd mewngofnodi sshd. CrΓ«wyd Git tag 5.8.0 yr wythnos diwethaf, ond ni chyhoeddwyd y datganiad yn swyddogol oherwydd materion perfformiad a chydnawsedd Γ’ fersiynau hΕ·n o wneuthuriad GNU a ddarganfuwyd ar Γ΄l i'r tag gael ei gyhoeddi.

Mae diweddariad XZ Utils 5.8.1 yn trwsio bregusrwydd (CVE-2025-31115) sy'n achosi damwain wrth geisio dadbacio archifau a ddyluniwyd yn arbennig. Mae'r bregusrwydd yn cael ei achosi gan gyrchu man cof sydd eisoes wedi'i ryddhau (defnyddio ar Γ΄l rhad ac am ddim). Gall ymosodwr gael ei werth wedi'i ysgrifennu i gyfeiriad a gyfrifwyd fel "nwl pwyntydd + gwrthbwyso." Ystyrir bod y broblem yn gamgymeriad anfwriadol, gan fod y newid a achosodd wedi'i wneud i'r cod ymhell cyn i'r datblygwr Jia Tan ymuno Γ’'r prosiect, y mae ei weithgareddau wedi arwain at gyflwyno'r drws cefn.

Mae'r broblem wedi bod yn bresennol ers XZ Utils 5.3.3alpha wrth ddadgodio mewn modd aml-edau (nid yw dadgodwyr un-edau yn cael eu heffeithio). Yn ogystal Γ’'r cyfleustodau adeiledig o'r pecyn xz, mae'r bregusrwydd hefyd yn effeithio ar raglenni trydydd parti sy'n defnyddio'r swyddogaeth lzma_stream_decoder_mt o'r llyfrgell liblzma. Cafodd y bregusrwydd ei drwsio yn XZ Utils 5.8.1 a'i Γ΄l-borthu i'r canghennau sefydlog 5.4 a 5.6. Gallwch olrhain diweddariadau ar gyfer eich dosraniadau ar y tudalennau canlynol: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. Fel ateb dros dro, gallwch analluogi datgodio ffeiliau mewn modd aml-edau trwy ddefnyddio'r opsiwn "--decompress --threads=1" wrth redeg xz neu drwy ddefnyddio'r cyfleustodau xzdec.

Ymhlith y newidiadau swyddogaethol yn y gangen XZ Utils 5.8, gellir nodi'r canlynol:

  • Ychwanegwyd y gallu i ddefnyddio cyfarwyddiadau SSE2 yn lle memcpy() ar y datgodiwr LZMA/LZMA2 ar systemau 32-bit a 64-bit x86. Roedd y newid yn ei gwneud hi'n bosibl lleihau'r amser datgodio hyd at 5% wrth adeiladu gyda Glibc, a hyd at 15% wrth adeiladu gyda musl wrth ddatgywasgu ffeiliau Γ’ lefel cywasgu uchel iawn.
  • liblzma yn gwella cyflymder amgodio ar systemau PowerPC 64-did a RISC-V.
  • Mae API lefel isel ar gyfer hidlwyr BCJ (Cangen/Galwad/Neidio) ar gyfer systemau RISC-V, ARM64 a x86 wedi'i ychwanegu at lzma/bcj.h.
  • Cod cyfrifo CLMUL CRC wedi'i ailysgrifennu ar gyfer systemau x86, x86-64 ac E2K.
  • Ar lwyfannau gyda phroseswyr LoongArch, mae cyfarwyddiadau wedi'u galluogi i gyflymu'r broses o gyfrifo symiau siec CRC32.
  • Mae'r cyfleustodau xz yn darparu galwad i fsync() i fflysio'r caches ffeil ar gyfer y ffeil canlyniadol cyn dileu'r ffeil wreiddiol. I analluogi cydamseru cyn dileu, mae'r opsiwn "--no-sync" wedi'i weithredu.
  • Yn y cyfleustodau xz, xzdec a lzmainfo, wrth arddangos gwybodaeth ar y sgrin, mae nodau na ellir eu hargraffu yn cael eu disodli gan farc cwestiwn.
  • Yn xz a xzdec ar y platfform Linux I ynysu'r broses, mae cefnogaeth ar gyfer fersiynau 5 a 6 o'r mecanwaith Landlock wedi'i weithredu.
  • Ychwanegwyd sgript ar gyfer gwirio trwyddedau build-aux/license-check.sh.
  • Mae'r sgriptiau lzcmp, lzdiff, lzless, lzmore, lzgrep, lzegrep a lzfgrep, a weithredwyd fel ychwanegion i'r cyfleustodau xz, wedi'u datgan yn anarferedig.

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd Γ’ diogelwch DDoS, gweinyddwyr VPS VDS πŸ”₯ Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster