zlib நூலகத்தில் ஒரு பாதிப்பு (CVE-2018-25032) கண்டறியப்பட்டுள்ளது, இது உள்வரும் தரவுகளில் சிறப்பாகத் தயாரிக்கப்பட்ட எழுத்துக்களின் வரிசையை சுருக்க முயற்சிக்கும்போது இடையக வழிதல் ஏற்படுகிறது. அதன் தற்போதைய வடிவத்தில், ஒரு செயல்முறையை அசாதாரணமாக நிறுத்தும் திறனை ஆராய்ச்சியாளர்கள் நிரூபித்துள்ளனர். பிரச்சனை இன்னும் கடுமையான விளைவுகளை ஏற்படுத்துமா என்பது இன்னும் ஆய்வு செய்யப்படவில்லை.
பாதிப்பு zlib 1.2.2.2 பதிப்பு தொடங்கி zlib 1.2.11 இன் தற்போதைய வெளியீட்டையும் பாதிக்கிறது. பாதிப்பை சரிசெய்வதற்கான இணைப்பு 2018 இல் மீண்டும் முன்மொழியப்பட்டது என்பது குறிப்பிடத்தக்கது, ஆனால் டெவலப்பர்கள் அதில் கவனம் செலுத்தவில்லை மற்றும் சரியான வெளியீட்டை வெளியிடவில்லை (zlib நூலகம் கடைசியாக 2017 இல் புதுப்பிக்கப்பட்டது). விநியோகங்கள் வழங்கும் தொகுப்புகளில் திருத்தம் இன்னும் சேர்க்கப்படவில்லை. டெபியன், RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD ஆகிய பக்கங்களில் விநியோகங்கள் மூலம் திருத்தங்களின் வெளியீட்டை நீங்கள் கண்காணிக்கலாம். zlib-ng நூலகம் சிக்கலால் பாதிக்கப்படவில்லை.
உள்ளீடு ஸ்ட்ரீமில் பேக் செய்யப்பட வேண்டிய அதிக எண்ணிக்கையிலான பொருத்தங்கள் இருந்தால், நிலையான ஹஃப்மேன் குறியீடுகளின் அடிப்படையில் பேக்கிங் பயன்படுத்தப்பட்டால் பாதிப்பு ஏற்படுகிறது. சில சூழ்நிலைகளில், சுருக்கப்பட்ட முடிவு வைக்கப்பட்டுள்ள இடைநிலை இடையகத்தின் உள்ளடக்கங்கள், குறியீட்டு அதிர்வெண் அட்டவணை சேமிக்கப்பட்டுள்ள நினைவகத்தை ஒன்றுடன் ஒன்று சேர்க்கலாம். இதன் விளைவாக, தவறான சுருக்கப்பட்ட தரவு உருவாக்கப்பட்டு, இடையக எல்லைக்கு வெளியே எழுதுவதால் செயலிழக்கிறது.
நிலையான ஹஃப்மேன் குறியீடுகளை அடிப்படையாகக் கொண்ட சுருக்க உத்தியைப் பயன்படுத்தி மட்டுமே பாதிப்பைப் பயன்படுத்த முடியும். குறியீட்டில் Z_FIXED விருப்பம் வெளிப்படையாக இயக்கப்படும்போது இதேபோன்ற உத்தி தேர்ந்தெடுக்கப்படுகிறது (Z_FIXED விருப்பத்தைப் பயன்படுத்தும் போது செயலிழக்க வழிவகுக்கும் ஒரு வரிசையின் எடுத்துக்காட்டு). குறியீட்டின் மூலம் ஆராயும்போது, தரவுக்காக கணக்கிடப்பட்ட உகந்த மற்றும் நிலையான மரங்கள் ஒரே அளவைக் கொண்டிருந்தால், Z_FIXED மூலோபாயம் தானாகவே தேர்ந்தெடுக்கப்படும்.
இயல்புநிலை Z_DEFAULT_STRATEGY சுருக்க உத்தியைப் பயன்படுத்தி பாதிப்பைப் பயன்படுத்துவதற்கான நிபந்தனைகளைத் தேர்ந்தெடுக்க முடியுமா என்பது இன்னும் தெளிவாகத் தெரியவில்லை. இல்லையெனில், Z_FIXED விருப்பத்தை வெளிப்படையாகப் பயன்படுத்தும் குறிப்பிட்ட குறிப்பிட்ட அமைப்புகளுக்கு பாதிப்பு வரம்பிடப்படும். அப்படியானால், zlib நூலகம் ஒரு நடைமுறை தரநிலை மற்றும் Linux kernel, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg உள்ளிட்ட பல பிரபலமான திட்டங்களில் பயன்படுத்தப்படுவதால், பாதிப்பால் ஏற்படும் சேதம் மிகவும் குறிப்பிடத்தக்கதாக இருக்கும். , rpm, Git , PostgreSQL, MySQL போன்றவை.
ஆதாரம்: opennet.ru