Athari ya kuathiriwa (CVE-2018-25032) imetambuliwa katika maktaba ya zlib, na kusababisha kufurika kwa bafa wakati wa kujaribu kubana mlolongo maalum wa wahusika katika data inayoingia. Katika hali yake ya sasa, watafiti wameonyesha uwezo wa kusababisha mchakato kukomesha isivyo kawaida. Ikiwa shida inaweza kuwa na athari mbaya zaidi bado haijasomwa.
Athari hii inaonekana kuanzia toleo la zlib 1.2.2.2 na pia huathiri toleo la sasa la zlib 1.2.11. Ni muhimu kukumbuka kuwa kiraka cha kurekebisha athari kilipendekezwa mnamo 2018, lakini wasanidi programu hawakukizingatia na hawakutoa toleo la kurekebisha (maktaba ya zlib ilisasishwa mara ya mwisho mnamo 2017). Marekebisho pia bado hayajajumuishwa kwenye vifurushi vinavyotolewa na usambazaji. Unaweza kufuatilia uchapishaji wa marekebisho kwa usambazaji kwenye kurasa hizi: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Maktaba ya zlib-ng haiathiriwi na shida.
Athari hutokea ikiwa mtiririko wa ingizo una idadi kubwa ya zinazolingana zitakazopakizwa, ambapo upakiaji unatumika kulingana na misimbo isiyobadilika ya Huffman. Katika hali fulani, yaliyomo kwenye bafa ya kati ambamo matokeo yaliyobanwa huwekwa yanaweza kuingiliana na kumbukumbu ambayo jedwali la masafa ya alama huhifadhiwa. Kwa hivyo, data iliyobanwa isiyo sahihi inatolewa na huacha kufanya kazi kutokana na kuandika nje ya mpaka wa bafa.
Athari inaweza kutumika tu kwa kutumia mkakati wa kubana kulingana na misimbo isiyobadilika ya Huffman. Mkakati sawa huchaguliwa wakati chaguo la Z_FIXED limewashwa kwa uwazi katika msimbo (mfano wa mlolongo unaosababisha kuacha kufanya kazi unapotumia chaguo la Z_FIXED). Kwa kuzingatia msimbo, mkakati wa Z_FIXED unaweza pia kuchaguliwa kiotomatiki ikiwa miti bora na tuli iliyokokotwa kwa data ina ukubwa sawa.
Bado haijabainika ikiwa masharti ya kutumia athari yanaweza kuchaguliwa kwa kutumia mkakati chaguomsingi wa kubana wa Z_DEFAULT_STRATEGY. Ikiwa sivyo, basi uwezekano wa kuathiriwa utakuwa mdogo kwa mifumo fulani mahususi inayotumia kwa uwazi chaguo la Z_FIXED. Ikiwa ni hivyo, basi uharibifu kutoka kwa mazingira magumu unaweza kuwa mkubwa sana, kwani maktaba ya zlib ni kiwango cha ukweli na hutumiwa katika miradi mingi maarufu, pamoja na Linux kernel, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg. , rpm, Git , PostgreSQL, MySQL, n.k.
Chanzo: opennet.ru