Дар китобхонаи zlib осебпазирӣ (CVE-2018-25032) ошкор карда шуд, ки ҳангоми кӯшиши фишурдани пайдарпайии махсуси аломатҳо дар маълумоти вурудӣ боиси пур шудани буфер мегардад. Дар шакли кунунии худ, муҳаққиқон имконияти ба вуҷуд омадани садамаи равандро нишон доданд. Ҳанӯз муайян нашудааст, ки оё ин масъала метавонад оқибатҳои ҷиддитар дошта бошад ё не.
Ин осебпазирӣ аз версияи zlib 1.2.2.2 сар карда, ба версияи ҷории zlib, 1.2.11, таъсир мерасонад. Қобили зикр аст, ки патч барои ислоҳи осебпазирӣ дар соли 2018 пешниҳод шуда буд, аммо таҳиягарон онро нодида гирифтанд ва версияи ислоҳкунандаро нашр накарданд (китобхонаи zlib охирин маротиба дар соли 2017 навсозӣ шуда буд). Ин ислоҳ ҳанӯз дар бастаҳои тақсимот дохил карда нашудааст. Шумо метавонед нашри патчҳоро аз рӯи тақсимот дар саҳифаҳои зерин пайгирӣ кунед: Debian, RHEL, Fedora, SUSE, Ubuntu, Арк Linux, OpenBSD, FreeBSD, NetBSD. Ин масъала ба китобхонаи zlib-ng таъсир намерасонад.
Ин осебпазирӣ вақте зоҳир мешавад, ки ҷараёни вуруд шумораи зиёди мувофиқатҳоро барои бастабандӣ дар бар гирад, ки бо истифода аз рамзҳои собити Huffman бастабандӣ карда мешаванд. Дар баъзе ҳолатҳо, мундариҷаи буфери мобайнӣ, ки дар он натиҷаи фишурдашуда ҷойгир карда мешавад, метавонад бо хотирае, ки ҷадвали басомади рамзҳоро нигоҳ медорад, ҳампӯшӣ кунад. Ин боиси тавлиди маълумоти нодурусти фишурдашуда ва садама дар натиҷаи навиштани берун аз ҳудуд мегардад.
Аз ин осебпазирӣ танҳо ҳангоми истифодаи стратегияи фишурдасозӣ, ки бар асоси рамзҳои собити Huffman асос ёфтааст, истифода бурдан мумкин аст. Ин стратегия бо роҳи фаъол кардани возеҳи имконоти Z_FIXED дар код интихоб карда мешавад (намунаи пайдарпайие, ки ҳангоми истифодаи опсияи Z_FIXED ба садама оварда мерасонад). Мувофиқи рамз, стратегияи Z_FIXED инчунин метавонад ба таври худкор интихоб карда шавад, агар дарахтони оптималӣ ва статикии ҳисобшуда барои маълумот андозаи якхела дошта бошанд.
Ҳанӯз маълум нест, ки оё истифодаи осебпазирӣ бо истифода аз стратегияи пешфарзии фишурдасозии Z_DEFAULT_STRATEGY имконпазир аст ё не. Дар акси ҳол, осебпазирӣ ба системаҳои мушаххасе маҳдуд мешавад, ки ба таври возеҳ аз имконоти Z_FIXED истифода мебаранд. Дар акси ҳол, зарари осебпазирӣ метавонад хеле назаррас бошад, зеро китобхонаи zlib стандарти воқеӣ аст ва дар бисёр лоиҳаҳои маъмул, аз ҷумла ядро, истифода мешавад. Linux, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg, rpm, Git, PostgreSQL, MySQL ва ғайра.
Манбаъ: opennet.ru
