Chaidh so-leòntachd (CVE-2018-25032) a chomharrachadh anns an leabharlann zlib, a’ leantainn gu tar-shruth bufair nuair a thathar a’ feuchainn ri sreath charactaran a chaidh ullachadh gu sònraichte a dhlùthadh ann an dàta a tha a’ tighinn a-steach. Anns an riochd a th’ ann an-dràsta, tha luchd-rannsachaidh air sealltainn gu bheil comas aca pròiseas a thoirt gu crìch gu h-annasach. Cha deach sgrùdadh a dhèanamh fhathast am faodadh builean nas miosa a bhith aig an duilgheadas.
Tha an so-leòntachd a’ nochdadh a’ tòiseachadh bho dhreach zlib 1.2.2.2 agus cuideachd a’ toirt buaidh air an sgaoileadh làithreach de zlib 1.2.11. Bu chòir a thoirt fa-near gun deach paiste airson an so-leòntachd a cheartachadh a mholadh air ais ann an 2018, ach cha tug an luchd-leasachaidh aire dha agus cha do leig iad a-mach brath ceartachaidh (chaidh an leabharlann zlib ùrachadh mu dheireadh ann an 2017). Chan eil am fuasgladh cuideachd air a ghabhail a-steach anns na pacaidean a tha air an tabhann le sgaoilidhean. Faodaidh tu sùil a chumail air foillseachadh fuasglaidhean le sgaoilidhean air na duilleagan seo: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Chan eil an duilgheadas a’ toirt buaidh air leabharlann zlib-ng.
Bidh an so-leòntachd a’ tachairt ma tha àireamh mhòr de gheamannan anns an t-sruth cuir a-steach airson am pacadh, ris am bi pacadh air a chuir an sàs stèidhichte air còdan stèidhichte Huffman. Ann an suidheachaidhean sònraichte, faodaidh susbaint a’ bhufair eadar-mheadhanach anns a bheil an toradh teannachaidh a dhol thairis air a’ chuimhne anns a bheil clàr tricead nan samhla air a stòradh. Mar thoradh air an sin, thèid dàta teannachaidh ceàrr a chruthachadh agus tuitidh e mar thoradh air sgrìobhadh taobh a-muigh crìoch bufair.
Chan urrainnear brath a ghabhail air an so-leòntachd ach le bhith a’ cleachdadh ro-innleachd teannachaidh stèidhichte air còdan stèidhichte Huffman. Tha ro-innleachd coltach ris air a thaghadh nuair a tha an roghainn Z_FIXED air a chomasachadh gu soilleir sa chòd (eisimpleir de shreath a dh’ adhbhraicheas tubaist nuair a bhios tu a’ cleachdadh an roghainn Z_FIXED). A ’breithneachadh leis a’ chòd, faodar an ro-innleachd Z_FIXED a thaghadh gu fèin-ghluasadach cuideachd ma tha an aon mheud aig na craobhan as fheàrr agus statach a chaidh a thomhas airson an dàta.
Chan eil e soilleir fhathast an gabh na cumhaichean airson brath a ghabhail air so-leòntachd a thaghadh leis an ro-innleachd teannachaidh bunaiteach Z_DEFAULT_STRATEGY. Mura h-eil, bidh an so-leòntachd cuingealaichte ri cuid de shiostaman sònraichte a bhios gu sònraichte a’ cleachdadh an roghainn Z_FIXED. Ma tha, dh’ fhaodadh am milleadh bhon so-leòntachd a bhith gu math cudromach, leis gu bheil an leabharlann zlib na inbhe de facto agus air a chleachdadh ann am mòran phròiseactan mòr-chòrdte, nam measg an Linux kernel, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg , rpm, Git, PostgreSQL, MySQL, msaa.
Source: fosgailtenet.ru