Zaurgarri bat (CVE-2018-25032) identifikatu da zlib liburutegian, eta buffer gainezka dakar sarrerako datuetan bereziki prestatutako karaktere-sekuentzia bat konprimitzen saiatzean. Gaur egungo forman, ikertzaileek frogatu dute prozesu bat modu anormalean amaitzea eragiteko gaitasuna. Arazoak ondorio larriagoak izan ditzakeen ala ez oraindik ez da aztertu.
Ahultasuna zlib 1.2.2.2 bertsioan agertzen da eta egungo zlib bertsioari, 1.2.11ari, eragiten dio. Aipatzekoa da ahultasuna konpontzeko adabaki bat proposatu zela 2018an, baina garatzaileek ez zutela kontuan hartu eta ez dutela zuzenketa-bertsiorik kaleratu (zlib liburutegia azken aldiz 2017an eguneratu zen). Konponketa ez dago oraindik banaketa-paketeetan sartuta. Adabakien argitalpena banaketaren arabera jarrai dezakezu hurrengo orrialdeetan: Debian, RHEL, Fedora, SUSE, Ubuntu, Arkua Linux, OpenBSD, FreeBSD, NetBSD. zlib-ng liburutegia ez dago arazo honen eraginpean.
Zaurgarritasuna gertatzen da sarrera-korronteak paketatu beharreko partida kopuru handia badu, eta horiei Huffman kode finkoetan oinarrituta aplikatzen zaie. Zenbait kasutan, konprimitutako emaitza jartzen den tarteko buffer-aren edukiak sinboloen maiztasun-taula gordetzen den memorian gainjar daitezke. Ondorioz, konprimitutako datu okerrak sortzen dira eta huts egiten dute buffer-en mugatik kanpo idazteagatik.
Ahultasuna Huffman kode finkoetan oinarritutako konpresio estrategia erabiliz soilik ustiatu daiteke. Antzeko estrategia bat aukeratzen da kodean Z_FIXED aukera esplizituki gaituta dagoenean (Z_FIXED aukera erabiltzean hutsegite bat eragiten duen sekuentzia baten adibidea). Kodearen arabera, Z_FIXED estrategia automatikoki ere hauta daiteke datuetarako kalkulatutako zuhaitz optimo eta estatikoek tamaina bera badute.
Ez dago argi oraindik ahultasuna ustiatu daitekeen ala ez Z_DEFAULT_STRATEGY konpresio-estrategia lehenetsia erabiliz. Bestela, ahultasuna Z_FIXED aukera esplizituki erabiltzen duten sistema espezifikoetara mugatuko litzateke. Hala bada, ahultasunaren kaltea oso handia izan liteke, zlib liburutegia de facto estandarra baita eta proiektu ezagun askotan erabiltzen baita, kernela barne. Linux, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg, rpm, Git, PostgreSQL, MySQL, etab.
Iturria: opennet.ru
