Идентификована је рањивост (ЦВЕ-2018-25032) у злиб библиотеци, што доводи до преливања бафера при покушају компримовања посебно припремљеног низа знакова у долазним подацима. У свом тренутном облику, истраживачи су показали способност да изазову ненормалан завршетак процеса. Још није проучено да ли би проблем могао имати озбиљније последице.
Рањивост се појављује почевши од верзије злиб 1.2.2.2 и такође утиче на тренутно издање злиб 1.2.11. Важно је напоменути да је закрпа за исправљање рањивости предложена још 2018. године, али програмери нису обратили пажњу на то и нису објавили корективно издање (злиб библиотека је последњи пут ажурирана 2017. године). Исправка такође још није укључена у пакете које нуде дистрибуције. Можете пратити објављивање поправки по дистрибуцијама на овим страницама: Дебиан, РХЕЛ, Федора, СУСЕ, Убунту, Арцх Линук, ОпенБСД, ФрееБСД, НетБСД. Проблем не утиче на злиб-нг библиотеку.
Рањивост се јавља ако улазни ток садржи велики број подударања које треба спаковати, на које се паковање примењује на основу фиксних Хафманових кодова. Под одређеним околностима, садржај средњег бафера у који је смештен компримовани резултат може да се преклапа са меморијом у којој је ускладиштена табела фреквенције симбола. Као резултат, генеришу се нетачни компримовани подаци и падају због писања ван границе бафера.
Рањивост се може искористити само коришћењем стратегије компресије засноване на фиксним Хафмановим кодовима. Слична стратегија се бира када је опција З_ФИКСЕД експлицитно омогућена у коду (пример секвенце која води до пада када се користи опција З_ФИКСЕД). Судећи по коду, З_ФИКСЕД стратегија се такође може изабрати аутоматски ако оптимално и статичко стабло израчунато за податке имају исту величину.
Још увек није јасно да ли се услови за искоришћавање рањивости могу изабрати коришћењем подразумеване стратегије компресије З_ДЕФАУЛТ_СТРАТЕГИ. Ако није, онда ће рањивост бити ограничена на одређене специфичне системе који експлицитно користе опцију З_ФИКСЕД. Ако је тако, онда би штета од рањивости могла бити веома значајна, пошто је злиб библиотека де факто стандард и користи се у многим популарним пројектима, укључујући Линук кернел, ОпенССХ, ОпенССЛ, апацхе хттпд, либпнг, ФФмпег, рсинц, дпкг , рпм, Гит, ПостгреСКЛ, МиСКЛ, итд.
Извор: опеннет.ру