Дар китобхонаи zlib осебпазирӣ (CVE-2018-25032) муайян карда шудааст, ки ҳангоми кӯшиши фишурдани пайдарпайии махсус омодашудаи аломатҳо дар маълумоти воридотӣ боиси фаромадани буфер мегардад. Дар шакли ҳозираи он, муҳаққиқон қобилияти ба таври ғайримуқаррарӣ қатъ шудани равандро нишон доданд. Оё ин мушкилот метавонад оқибатҳои ҷиддитар дошта бошад, то ҳол омӯхта нашудааст.
осебпазирӣ аз версияи zlib 1.2.2.2 пайдо мешавад ва инчунин ба нашри ҷории zlib 1.2.11 таъсир мерасонад. Ҷолиби диққат аст, ки ямоқи ислоҳи осебпазирӣ ҳанӯз дар соли 2018 пешниҳод шуда буд, аммо таҳиягарон ба он аҳамият надоданд ва версияи ислоҳиро нашр накарданд (китобхонаи zlib бори охир соли 2017 нав карда шуд). Ислоҳ инчунин ба бастаҳои аз ҷониби дистрибюторҳо пешниҳодшуда дохил карда нашудааст. Шумо метавонед нашри ислоҳҳоро аз рӯи тақсимот дар ин саҳифаҳо пайгирӣ кунед: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Китобхонаи zlib-ng аз мушкилот таъсир намерасонад.
Озарбойҷон ба амал меояд, агар ҷараёни вуруд миқдори зиёди мувофиқатҳоеро, ки бояд баста шаванд, дар бар гирад, ки ба онҳо бастабандӣ дар асоси рамзҳои собит Ҳуффман татбиқ карда мешавад. Дар ҳолатҳои муайян, мундариҷаи буфери фосилавӣ, ки дар он натиҷаи фишурдашуда ҷойгир карда шудааст, метавонад хотираеро, ки дар он ҷадвали басомади рамзҳо нигоҳ дошта мешавад, такрор кунад. Дар натиҷа, маълумоти фишурдашудаи нодуруст тавлид мешавад ва бинобар навиштан берун аз сарҳади буферӣ вайрон мешавад.
Аз осебпазирӣ танҳо бо истифода аз стратегияи фишурдасозӣ дар асоси рамзҳои собит Ҳуффман истифода бурдан мумкин аст. Стратегияи шабеҳ вақте интихоб карда мешавад, ки опсияи Z_FIXED дар код ба таври возеҳ фаъол карда мешавад (намунаи пайдарпай, ки ҳангоми истифодаи опсияи Z_FIXED боиси садама мегардад). Мувофиқи рамз, стратегияи Z_FIXED инчунин метавонад ба таври худкор интихоб карда шавад, агар дарахтони оптималӣ ва статикии барои маълумот ҳисобшуда як андоза дошта бошанд.
Ҳанӯз маълум нест, ки оё шартҳои истифодаи осебпазириро метавон бо истифода аз стратегияи фишурдани Z_DEFAULT_STRATEGY интихоб кард. Дар акси ҳол, осебпазирӣ бо системаҳои мушаххасе маҳдуд хоҳад шуд, ки ба таври возеҳ опсияи Z_FIXED-ро истифода мебаранд. Агар ин тавр бошад, пас зарар аз осебпазирӣ метавонад хеле назаррас бошад, зеро китобхонаи zlib стандарти воқеист ва дар бисёр лоиҳаҳои маъмул, аз ҷумла ядрои Linux, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg истифода мешавад. , rpm, Git, PostgreSQL, MySQL ва ғайра.
Манбаъ: opennet.ru