Kerentanan (CVE-2018-25032) wis diidentifikasi ing perpustakaan zlib, sing nyebabake kebanjiran buffer nalika nyoba ngompres urutan karakter sing disiapake khusus ing data sing mlebu. Ing wangun saiki, peneliti wis nduduhake kemampuan kanggo nimbulaké proses kanggo mungkasi abnormally. Apa masalah bisa duwe akibat sing luwih serius durung diteliti.
Kerentanan katon wiwit saka versi zlib 1.2.2.2 lan uga mengaruhi release saiki saka zlib 1.2.11. Wigati dimangerteni manawa patch kanggo mbenerake kerentanan diusulake ing taun 2018, nanging pangembang ora nggatekake lan ora ngeculake rilis korektif (perpustakaan zlib pungkasan dianyari ing 2017). Perbaikan kasebut uga durung kalebu ing paket sing ditawakake distribusi. Sampeyan bisa nglacak publikasi ndandani kanthi distribusi ing kaca iki: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Perpustakaan zlib-ng ora kena pengaruh masalah kasebut.
Kerentanan kasebut kedadeyan yen aliran input ngemot akeh pertandhingan sing bakal dikempalken, sing digunakake kanggo ngemas adhedhasar kode Huffman sing tetep. Ing kahanan tartamtu, isi buffer penengah ing kang asil teken diselehake bisa tumpang tindih memori kang tabel frekuensi simbol disimpen. Akibaté, data sing dikompres sing salah digawe lan nabrak amarga nulis ing njaba wates buffer.
Kerentanan mung bisa dimanfaatake nggunakake strategi kompresi adhedhasar kode Huffman sing tetep. Strategi sing padha dipilih nalika opsi Z_FIXED diaktifake kanthi jelas ing kode kasebut (conto urutan sing ndadékaké kacilakan nalika nggunakake pilihan Z_FIXED). Miturut kode kasebut, strategi Z_FIXED uga bisa dipilih kanthi otomatis yen wit optimal lan statis sing diwilang kanggo data duwe ukuran sing padha.
Durung jelas apa kahanan kanggo ngeksploitasi kerentanan bisa dipilih nggunakake strategi kompresi standar Z_DEFAULT_STRATEGY. Yen ora, kerentanan bakal diwatesi kanggo sistem tartamtu tartamtu sing kanthi eksplisit nggunakake opsi Z_FIXED. Yen mangkono, karusakan saka kerentanan bisa dadi signifikan, amarga perpustakaan zlib minangka standar de facto lan digunakake ing pirang-pirang proyek populer, kalebu kernel Linux, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg. , rpm, Git, PostgreSQL, MySQL, lsp.
Source: opennet.ru