یو زیانمنتیا (CVE-2018-25032) په زیلب کتابتون کې پیژندل شوی، چې د بفر اوور فلو لامل کیږي کله چې په راتلونکو معلوماتو کې د حروفونو ځانګړي چمتو شوي ترتیب کمپریس کولو هڅه کوي. په خپل اوسني شکل کې، څیړونکو دا وړتیا ښودلې چې د پروسې د غیر معمولي پای ته رسولو لامل شي. ایا دا ستونزه به نور جدي پایلې ولري تر اوسه ندي مطالعه شوي.
زیانمنتیا د zlib 1.2.2.2 نسخه څخه پیل کیږي او د zlib 1.2.11 اوسني خپریدو باندې هم اغیزه کوي. د یادونې وړ ده چې د زیانونو د سمولو لپاره یو پیچ په 2018 کې وړاندیز شوی و، مګر پراختیا کونکو ورته پام نه و کړی او اصلاحي خپرونه یې نه ده خپره کړې (زلیب کتابتون وروستی ځل په 2017 کې تازه شوی و). فکس لاهم د توزیع لخوا وړاندیز شوي کڅوړو کې شامل ندي. تاسو کولی شئ په دې پاڼو کې د توزیع په واسطه د فکسونو خپرونه تعقیب کړئ: Debian، RHEL، Fedora، SUSE، Ubuntu، Arch Linux، OpenBSD، FreeBSD، NetBSD. د zlib-ng کتابتون د ستونزې لخوا اغیزمن شوی نه دی.
زیانمنتیا واقع کیږي که چیرې د ان پټ جریان د بسته کولو لپاره ډیری میچونه ولري، کوم چې بسته بندي د ثابت هفمن کوډونو پراساس پلي کیږي. په ځینو شرایطو کې، د منځني بفر منځپانګې چې په کې فشار شوي پایلې ځای پرځای شوي کیدای شي هغه حافظه چې په کوم کې د سمبول فریکونسۍ جدول زیرمه شوي وي پورته کړي. د پایلې په توګه، غلط کمپریس شوي ډاټا تولید کیږي او د بفر حد څخه بهر د لیکلو له امله ټکر کیږي.
زیانمنتیا یوازې د ثابت هفمن کوډونو پراساس د کمپریشن ستراتیژۍ په کارولو سره کارول کیدی شي. ورته ستراتیژي غوره کیږي کله چې د Z_FIXED اختیار په واضح ډول په کوډ کې فعال شوی وي (د ترتیب یوه بیلګه چې د Z_FIXED اختیار کارولو پرمهال د حادثې لامل کیږي). د کوډ په واسطه قضاوت کول، د Z_FIXED ستراتیژي هم په اوتومات ډول ټاکل کیدی شي که چیرې د ډیټا لپاره محاسبه شوي مطلوب او جامد ونې ورته اندازه ولري.
دا لا روښانه نده چې ایا د زیان مننې ګټې اخیستنې شرایط د ډیفالټ Z_DEFAULT_STRATEGY کمپریشن ستراتیژۍ په کارولو سره غوره کیدی شي. که نه، نو بیا زیانمنونکي به د ځانګړو ځانګړو سیسټمونو پورې محدود وي چې په ښکاره توګه د Z_FIXED اختیار کاروي. که داسې وي، نو بیا د زیان مننې زیان خورا مهم کیدی شي، ځکه چې د zlib کتابتون یو اصل معیار دی او په ډیرو مشهورو پروژو کې کارول کیږي، په شمول د لینکس کرنل، OpenSSH، OpenSSL، apache httpd، libpng، FFmpeg، rsync، dpkg. ، rpm، Git، PostgreSQL، MySQL، او نور.
سرچینه: opennet.ru