ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > ప్రత్యేకంగా రూపొందించిన డేటాను కుదించేటప్పుడు సంభవించే zlibలో దుర్బలత్వం

ప్రత్యేకంగా రూపొందించిన డేటాను కుదించేటప్పుడు సంభవించే zlibలో దుర్బలత్వం

zlib లైబ్రరీలో ఒక దుర్బలత్వం (CVE-2018-25032) గుర్తించబడింది, ఇది ఇన్‌కమింగ్ డేటాలో ప్రత్యేకంగా సిద్ధం చేయబడిన అక్షరాల క్రమాన్ని కుదించడానికి ప్రయత్నించినప్పుడు బఫర్ ఓవర్‌ఫ్లోకి దారి తీస్తుంది. ప్రస్తుత రూపంలో, పరిశోధకులు ఒక ప్రక్రియను అసాధారణంగా ముగించే సామర్థ్యాన్ని ప్రదర్శించారు. సమస్య మరింత తీవ్రమైన పరిణామాలను కలిగిస్తుందా అనేది ఇంకా అధ్యయనం చేయలేదు.

zlib 1.2.2.2 వెర్షన్ నుండి దుర్బలత్వం కనిపిస్తుంది మరియు zlib 1.2.11 యొక్క ప్రస్తుత విడుదలను కూడా ప్రభావితం చేస్తుంది. దుర్బలత్వాన్ని సరిదిద్దడానికి ఒక ప్యాచ్ 2018 లో తిరిగి ప్రతిపాదించబడింది, అయితే డెవలపర్లు దానిపై శ్రద్ధ చూపలేదు మరియు సరైన విడుదలను విడుదల చేయలేదు (zlib లైబ్రరీ చివరిగా 2017లో నవీకరించబడింది). పంపిణీలు అందించే ప్యాకేజీలలో పరిష్కారము ఇంకా చేర్చబడలేదు. మీరు ఈ పేజీలలో పంపిణీల ద్వారా పరిష్కారాల ప్రచురణను ట్రాక్ చేయవచ్చు: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. zlib-ng లైబ్రరీ సమస్య వల్ల ప్రభావితం కాలేదు.

ఇన్‌పుట్ స్ట్రీమ్‌లో ప్యాక్ చేయాల్సిన పెద్ద సంఖ్యలో మ్యాచ్‌లు ఉంటే, వాటికి ప్యాకింగ్ ఫిక్స్‌డ్ హఫ్ఫ్‌మన్ కోడ్‌ల ఆధారంగా వర్తించబడుతుంది. నిర్దిష్ట పరిస్థితులలో, సంపీడన ఫలితం ఉంచబడిన ఇంటర్మీడియట్ బఫర్ యొక్క కంటెంట్‌లు గుర్తు ఫ్రీక్వెన్సీ పట్టిక నిల్వ చేయబడిన మెమరీని అతివ్యాప్తి చేయవచ్చు. ఫలితంగా, బఫర్ సరిహద్దు వెలుపల వ్రాయడం వలన తప్పుగా కంప్రెస్ చేయబడిన డేటా ఉత్పత్తి చేయబడుతుంది మరియు క్రాష్ అవుతుంది.

స్థిర హఫ్ఫ్‌మన్ కోడ్‌ల ఆధారంగా కుదింపు వ్యూహాన్ని ఉపయోగించి మాత్రమే దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు. కోడ్‌లో Z_FIXED ఎంపిక స్పష్టంగా ప్రారంభించబడినప్పుడు ఇదే విధమైన వ్యూహం ఎంచుకోబడుతుంది (Z_FIXED ఎంపికను ఉపయోగిస్తున్నప్పుడు క్రాష్‌కు దారితీసే క్రమానికి ఉదాహరణ). కోడ్‌ని బట్టి చూస్తే, డేటా కోసం లెక్కించబడిన సరైన మరియు స్థిరమైన ట్రీలు ఒకే పరిమాణాన్ని కలిగి ఉంటే Z_FIXED వ్యూహం కూడా స్వయంచాలకంగా ఎంచుకోబడుతుంది.

డిఫాల్ట్ Z_DEFAULT_STRATEGY కంప్రెషన్ స్ట్రాటజీని ఉపయోగించి దుర్బలత్వాన్ని ఉపయోగించుకునే షరతులను ఎంచుకోవచ్చా అనేది ఇంకా స్పష్టంగా తెలియలేదు. కాకపోతే, Z_FIXED ఎంపికను స్పష్టంగా ఉపయోగించే నిర్దిష్ట నిర్దిష్ట సిస్టమ్‌లకు హాని పరిమితం చేయబడుతుంది. అలా అయితే, zlib లైబ్రరీ వాస్తవ ప్రమాణం మరియు Linux కెర్నల్, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg వంటి అనేక ప్రసిద్ధ ప్రాజెక్ట్‌లలో ఉపయోగించబడుతుంది కాబట్టి, దుర్బలత్వం నుండి నష్టం చాలా ముఖ్యమైనది. , rpm, Git , PostgreSQL, MySQL, మొదలైనవి.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి