Nuglaanta (CVE-2018-25032) ayaa lagu aqoonsaday maktabadda zlib, taasoo horseedaysa qulqul xad dhaaf ah marka la isku dayo in la cadaadiyo taxane si gaar ah loo diyaariyey ee xogta soo socota. Qaabka ay hadda tahay, cilmi-baarayaashu waxay muujiyeen awoodda ay u leeyihiin inay sababto geeddi-socod inuu si aan caadi ahayn u dhammaado. In dhibaatadu ka dhalan karto cawaaqib xumo weli lama darsin.
Nuglaanta waxay u muuqataa inay ka bilaabmayso nooca zlib 1.2.2.2 waxayna sidoo kale saamaynaysaa sii daynta hadda ee zlib 1.2.11. Waxaa xusid mudan in balastar lagu saxo nuglaanta la soo jeediyay in dib loogu celiyo 2018, laakiin horumariyayaashu ma aysan fiiro gaar ah u yeelan oo ma sii dayn sii deynta sixitaanka (maktabadda zlib waxaa la cusbooneysiiyay 2017). Hagaajinta sidoo kale wali laguma darin xirmooyinka ay bixiso qaybinta. Waxaad ula socon kartaa daabacaadda hagaajinta iyadoo loo qaybinayo boggagan: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Maktabada zlib-ng dhibku ma saamayso.
Nuglaanta waxay dhacdaa haddii qulqulka wax gelinta uu ka kooban yahay tiro badan oo taraq ah oo la soo xidhxidhay, kaas oo xidhidhaynta lagu dabaqay iyadoo lagu saleynayo koodka Huffman ee go'an. Xaalado gaar ah, waxa ku jira kaydka dhexdhexaadka ah ee natiijada la isku riixay lagu ridayo waxa laga yaabaa inay isku dul dhacaan xusuusta uu ku kaydsan yahay miiska soo noqnoqda ee calaamada. Natiijadu waxay tahay, xogta la isku cadeeyey ee khaldan ayaa la soo saaray oo burburtay sababtoo ah qoraal ka baxsan soohdinta kaydka.
Nuglaanta waxa kaliya oo looga faa'iidaysan karaa iyada oo la adeegsanayo istaraatiijiyad isku-buufin ah oo ku salaysan koodka Huffman ee go'an. Istaraatiijiyad la mid ah ayaa la doortaa marka xulashada Z_FIXED si cad loogu oggolaado koodhka (tusaale isku xigxiga oo keenaya shil marka la isticmaalayo xulashada Z_FIXED). Marka loo eego koodka, istiraatiijiyadda Z_FIXED sidoo kale si toos ah ayaa loo dooran karaa haddii geedaha ugu fiican iyo kuwa taagan ee lagu xisaabiyo xogta ay leeyihiin cabbir isku mid ah.
Weli ma cadda in shuruudaha ka faa'iidaysiga dayacanka lagu dooran karo iyada oo la adeegsanayo istaraatiijiyada isku-buuqa ee caadiga ah ee Z_DEFAULT_STRATEGY. Haddaysan ahayn, markaas baylahdu waxay ku koobnaan doontaa nidaamyo gaar ah oo si cad u isticmaala ikhtiyaarka Z_FIXED. Hadday sidaas tahay, markaa waxyeellada nuglaanshaha waxay noqon kartaa mid aad u muhiim ah, maadaama maktabadda zlib ay tahay halbeeg dhab ah waxaana loo adeegsadaa mashruucyo badan oo caan ah, oo ay ku jiraan Linux kernel, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg , rpm, Git, PostgreSQL, MySQL, iwm.
Source: opennet.ru