Aithníodh leochaileacht (CVE-2018-25032) sa leabharlann zlib, rud a fhágann go bhfuil ró-shreabhadh maoláin ann nuair a dhéantar iarracht seicheamh carachtair atá ullmhaithe go speisialta a chomhbhrú i sonraí ag teacht isteach. Ina fhoirm reatha, léirigh taighdeoirí go bhfuil siad in ann deireadh a chur le próiseas go neamhghnách. Níl staidéar déanta fós ar cé acu an bhféadfadh iarmhairtí níos tromchúisí a bheith ag an bhfadhb.
Is cosúil go bhfuil an leochaileacht ag tosú ó leagan zlib 1.2.2.2 agus bíonn tionchar aige freisin ar scaoileadh reatha zlib 1.2.11. Is fiú a thabhairt faoi deara gur moladh paiste chun an leochaileacht a cheartú ar ais i 2018, ach níor thug na forbróirí aird air agus níor scaoil siad scaoileadh ceartaitheach (níor nuashonraíodh leabharlann zlib in 2017). Níl an tsocrú san áireamh fós sna pacáistí a thairgeann dáiltí. Is féidir leat foilsiú socruithe de réir dáiliúcháin a rianú ar na leathanaigh seo: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Níl aon tionchar ag an bhfadhb ar an leabharlann zlib-ng.
Tarlaíonn an leochaileacht má tá líon mór meaitseanna le pacáil sa sruth ionchuir, a gcuirtear an pacáil i bhfeidhm orthu bunaithe ar chóid sheasta Huffman. I gcúinsí áirithe, féadfaidh inneachar an mhaoláin idirmheánacha ina gcuirtear an toradh comhbhrúite forluí ar an gcuimhne ina bhfuil an tábla minicíochta siombailí stóráilte. Mar thoradh air sin, gintear sonraí comhbhrúite mícheart agus tuairteanna mar gheall ar scríobh lasmuigh den teorainn maolánach.
Ní féidir leas a bhaint as an leochaileacht ach úsáid a bhaint as straitéis comhbhrú bunaithe ar chóid seasta Huffman. Roghnaítear straitéis chomhchosúil nuair atá an rogha Z_FIXED cumasaithe go sainráite sa chód (sampla de sheicheamh as a dtagann timpiste nuair a bhíonn an rogha Z_FIXED in úsáid). Ag breithiúnas leis an gcód, is féidir an straitéis Z_FIXED a roghnú go huathoibríoch freisin má tá an méid céanna ag na crainn optamach agus statacha a ríomhtar do na sonraí.
Níl sé soiléir fós an féidir na coinníollacha chun leas a bhaint as an leochaileacht a roghnú trí leas a bhaint as an straitéis réamhshocraithe comhbhrúite Z_DEFAULT_STRATEGY. Mura bhfuil, beidh an leochaileacht teoranta do chórais shonracha áirithe a úsáideann an rogha Z_FIXED go sainráite. Más amhlaidh, ansin d'fhéadfadh an damáiste ón leochaileacht a bheith an-suntasach, ós rud é go bhfuil an leabharlann zlib caighdeán de facto agus go n-úsáidtear é i go leor tionscadal tóir, lena n-áirítear an eithne Linux, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg , rpm, Git , PostgreSQL, MySQL, etc.
Foinse: oscailtenet.ru