ProHoster > Blog > nouvèl sou entènèt > Vilnerabilite nan zlib ki fèt lè konpresyon done ki fèt espesyalman

Vilnerabilite nan zlib ki fèt lè konpresyon done ki fèt espesyalman

Yo te idantifye yon vilnerabilite (CVE-2018-25032) nan bibliyotèk zlib la, ki mennen nan yon debòde tanpon lè w ap eseye konprese yon sekans karaktè espesyalman prepare nan done k ap rantre yo. Nan fòm aktyèl li yo, chèchè yo te demontre kapasite pou lakòz yon pwosesis fini anòmal. Si pwoblèm nan ta ka gen konsekans pi grav yo poko etidye.

Vilnerabilite a manifeste tèt li apati vèsyon zlib 1.2.2.2 epi li afekte vèsyon zlib aktyèl la, 1.2.11. Li enpòtan pou note ke yo te pwopoze yon patch pou korije vilnerabilite a an 2018, men devlopè yo te inyore li epi yo pa t pibliye yon vèsyon korektif (dènye mizajou bibliyotèk zlib la te fèt an 2017). Koreksyon an poko enkli nan pakè distribisyon yo tou. Ou ka swiv lage patch yo pa distribisyon sou paj sa yo: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Pwoblèm sa a pa afekte bibliyotèk zlib-ng la.

Vilnerabilite a rive si kouran D 'a gen yon gwo kantite alimèt yo dwe chaje, nan ki anbalaj yo aplike ki baze sou kòd fiks Huffman. Nan sèten sikonstans, sa ki nan tanpon entèmedyè a nan kote rezilta konprese a mete ka sipèpoze memwa kote tablo frekans senbòl la estoke. Kòm yon rezilta, done konprese kòrèk yo pwodwi ak aksidan akòz ekri deyò fwontyè tanpon an.

Vilnerabilite a kapab sèlman eksplwate lè l sèvi avèk yon estrateji konpresyon ki baze sou kòd fiks Huffman. Yon estrateji menm jan an chwazi lè opsyon Z_FIXED la klèman aktive nan kòd la (yon egzanp yon sekans ki mennen nan yon aksidan lè w ap itilize opsyon Z_FIXED la). Jije pa kòd la, estrateji Z_FIXED la ka chwazi tou otomatikman si pyebwa yo pi bon ak estatik kalkile pou done yo gen menm gwosè.

Li poko klè si yo ka eksplwate vilnerabilite a lè yo itilize estrateji konpresyon Z_DEFAULT_STRATEGY pa defo a. Si se pa sa, vilnerabilite a ta limite a sistèm espesifik ki itilize opsyon Z_FIXED la eksplisitman. Si se ka sa a, domaj ki soti nan vilnerabilite a ta ka trè siyifikatif, paske bibliyotèk zlib la se estanda de facto a epi li itilize nan anpil pwojè popilè, tankou kernel la. Linux, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg, rpm, Git, PostgreSQL, MySQL, elatriye.

Sous: opennet.ru

Achte hosting serye pou sit ki gen pwoteksyon DDoS, sèvè VPS VDS 🔥 Achte yon hébergement sit entènèt serye ak pwoteksyon DDoS, sèvè VPS VDS | ProHoster