پرو هوسٽر > بلاگ > انٽرنيٽ خبرون > زليب ۾ ڪمزوري جيڪا ٿئي ٿي جڏهن خاص طور تي ٺهيل ڊيٽا کي دٻائڻ

زليب ۾ ڪمزوري جيڪا ٿئي ٿي جڏهن خاص طور تي ٺهيل ڊيٽا کي دٻائڻ

zlib لائبريري ۾ هڪ خطري (CVE-2018-25032) جي نشاندهي ڪئي وئي آهي، جيڪو ايندڙ ڊيٽا ۾ ڪردارن جي خاص طور تي تيار ڪيل ترتيب کي دٻائڻ جي ڪوشش ڪرڻ دوران بفر اوور فلو جي ڪري. ان جي موجوده شڪل ۾، محققن کي غير معمولي طور تي ختم ڪرڻ جي عمل جو سبب بڻائڻ جي صلاحيت ڏيکاري ٿي. ڇا مسئلو اڃا وڌيڪ سنجيده نتيجا ٿي سگهي ٿو اڃا تائين اڀياس نه ڪيو ويو آهي.

ضعيف نسخو zlib 1.2.2.2 کان شروع ٿئي ٿو ۽ zlib 1.2.11 جي موجوده رليز کي پڻ متاثر ڪري ٿو. اهو قابل ذڪر آهي ته نقصان کي درست ڪرڻ لاء هڪ پيچ 2018 ۾ واپس تجويز ڪيو ويو، پر ڊولپرز ان تي ڌيان نه ڏنو ۽ هڪ اصلاحي رليز جاري نه ڪيو (زليب لائبريري آخري ڀيرو 2017 ۾ اپڊيٽ ڪئي وئي هئي). فيڪس اڃا تائين تقسيم طرفان پيش ڪيل پيڪيجز ۾ شامل نه آهي. توھان انھن صفحن تي تقسيم جي ذريعي سڌارن جي اشاعت کي ٽريڪ ڪري سگھو ٿا: Debian، RHEL، Fedora، SUSE، Ubuntu، Arch Linux، OpenBSD، FreeBSD، NetBSD. zlib-ng لائبريري مسئلي کان متاثر نه آهي.

ڪمزوري تڏهن ٿيندي آهي جڏهن ان پٽ اسٽريم ۾ وڏي تعداد ۾ ميچون شامل هونديون آهن جن کي پيڪ ڪرڻ لاءِ پيڪنگ لاڳو ڪيو ويندو آهي فڪسڊ هفمن ڪوڊ جي بنياد تي. ڪجهه حالتن جي تحت، وچولي بفر جو مواد جنهن ۾ ٺهيل نتيجو رکيل آهي شايد ميموري کي اوورليپ ڪري سگهي ٿي جنهن ۾ علامت تعدد ٽيبل محفوظ ڪئي وئي آهي. نتيجي طور، غلط کمپريس ٿيل ڊيٽا ٺاهي وئي آهي ۽ بفر جي حد کان ٻاهر لکڻ جي ڪري حادثا.

ڪمزوري کي صرف استعمال ڪري سگهجي ٿو ڪمپريشن حڪمت عملي جي بنياد تي مقرر ڪيل Huffman ڪوڊس. ساڳي حڪمت عملي چونڊيو ويندو آهي جڏهن Z_FIXED آپشن واضح طور تي ڪوڊ ۾ فعال ڪيو ويندو آهي (هڪ ترتيب جو هڪ مثال جيڪو حادثي جي ڪري ٿي جڏهن Z_FIXED اختيار استعمال ڪندي). ڪوڊ جي حساب سان، Z_FIXED حڪمت عملي پڻ خودڪار طريقي سان چونڊجي سگھي ٿي جيڪڏھن ڊيٽا لاءِ ڳڻيل بھترين ۽ جامد وڻن جي ھڪڙي سائيز آھي.

اهو اڃا تائين واضح ناهي ته ڇا ضعيف جي استحصال لاءِ حالتون چونڊجي سگھجن ٿيون ڊفالٽ Z_DEFAULT_STRATEGY ڪمپريشن حڪمت عملي استعمال ڪندي. جيڪڏهن نه، ته پوءِ نقصان ڪجهه مخصوص سسٽم تائين محدود هوندو جيڪي واضح طور تي Z_FIXED آپشن استعمال ڪن ٿا. جيڪڏهن ائين آهي، ته پوءِ نقصان جو نقصان تمام اهم ٿي سگهي ٿو، ڇاڪاڻ ته zlib لائبريري هڪ حقيقي معيار آهي ۽ ڪيترن ئي مشهور منصوبن ۾ استعمال ٿئي ٿي، جن ۾ لينڪس ڪنيل، OpenSSH، OpenSSL، apache httpd، libpng، FFmpeg، rsync، dpkg. , rpm, Git, PostgreSQL, MySQL, وغيره.

جو ذريعو: opennet.ru

تبصرو شامل ڪريو