Kerentanan (CVE-2018-25032) parantos diidentifikasi dina perpustakaan zlib, ngarah kana panyangga mudal nalika nyobian ngompres urutan karakter anu disiapkeun khusus dina data anu asup. Dina bentuk ayeuna, panalungtik geus nunjukkeun kamampuhan pikeun ngabalukarkeun prosés pikeun nungtungan abnormally. Naha masalahna tiasa gaduh akibat anu langkung serius henteu acan ditaliti.
Kerentanan muncul mimitian ti versi zlib 1.2.2.2 sarta ogé mangaruhan release ayeuna zlib 1.2.11. Catet yén patch pikeun ngabenerkeun kerentanan diusulkeun deui dina taun 2018, tapi pamekar henteu nengetan éta sareng henteu ngaluarkeun sékrési koréksi (perpustakaan zlib terakhir diropéa taun 2017). Perbaikan ogé henteu acan kalebet kana bungkusan anu ditawarkeun ku distribusi. Anjeun tiasa ngalacak publikasi perbaikan ku distribusi dina halaman ieu: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Perpustakaan zlib-ng henteu kapangaruhan ku masalah.
Kerentanan lumangsung lamun aliran input ngandung angka nu gede ngarupakeun patandingan pikeun dipak, nu packing dilarapkeun dumasar kana Konci Huffman tetep. Dina kaayaan nu tangtu, eusi panyangga panengah dimana hasil dikomprés disimpen bisa tumpang tindih memori nu disimpen tabel frékuénsi simbol. Hasilna, data dikomprés lepat dihasilkeun sarta ngadat alatan nulis di luar wates panyangga.
Kerentanan ngan ukur tiasa dieksploitasi nganggo strategi komprési dumasar kana kode Huffman anu tetep. Strategi anu sami dipilih nalika pilihan Z_FIXED sacara eksplisit diaktipkeun dina kode (conto sekuen anu nyababkeun kacilakaan nalika nganggo pilihan Z_FIXED). Ditilik ku kode, strategi Z_FIXED ogé tiasa dipilih sacara otomatis upami tangkal optimal sareng statik anu diitung pikeun data gaduh ukuran anu sami.
Henteu acan écés naha kaayaan pikeun ngamangpaatkeun kerentanan tiasa dipilih nganggo strategi komprési Z_DEFAULT_STRATEGY standar. Upami henteu, maka kerentanan bakal dugi ka sistem khusus anu sacara eksplisit ngagunakeun pilihan Z_FIXED. Upami kitu, karusakan tina kerentanan tiasa janten signifikan, sabab perpustakaan zlib mangrupikeun standar de facto sareng dianggo dina seueur proyék populér, kalebet kernel Linux, OpenSSH, OpenSSL, Apache httpd, libpng, FFmpeg, rsync, dpkg. , rpm, Git, PostgreSQL, MySQL, jsb.
sumber: opennet.ru