Zlib kutubxonasida zaiflik (CVE-2018-25032) aniqlandi, bu kiruvchi ma'lumotlardagi maxsus tayyorlangan belgilar ketma-ketligini siqishga urinishda buferning to'lib ketishiga olib keladi. Hozirgi shaklda tadqiqotchilar jarayonning g'ayritabiiy tarzda tugashiga sabab bo'lish qobiliyatini namoyish etdilar. Muammo yanada jiddiy oqibatlarga olib kelishi mumkinmi yoki yo'qmi, hali o'rganilmagan.
Zaiflik zlib 1.2.2.2 versiyasidan boshlab paydo bo'ladi va zlib 1.2.11 ning joriy versiyasiga ham ta'sir qiladi. Shunisi e'tiborga loyiqki, zaiflikni tuzatish uchun yamoq 2018 yilda taklif qilingan, ammo ishlab chiquvchilar bunga e'tibor bermagan va tuzatuvchi nashrni chiqarmagan (zlib kutubxonasi oxirgi marta 2017 yilda yangilangan). Tuzatish, shuningdek, tarqatishlar tomonidan taqdim etilgan paketlarga hali kiritilmagan. Tuzatishlar nashr etilishini ushbu sahifalarda tarqatish boΚ»yicha kuzatishingiz mumkin: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD. Zlib-ng kutubxonasi muammoga ta'sir qilmaydi.
Zaiflik, agar kirish oqimida to'planishi kerak bo'lgan ko'p sonli mosliklar mavjud bo'lsa, yuzaga keladi, ular uchun qadoqlash qat'iy Huffman kodlari asosida qo'llaniladi. Muayyan sharoitlarda siqilgan natija joylashtirilgan oraliq buferning mazmuni belgilar chastotasi jadvali saqlanadigan xotira bilan bir-biriga mos kelishi mumkin. Natijada, noto'g'ri siqilgan ma'lumotlar hosil bo'ladi va bufer chegarasidan tashqarida yozish tufayli ishdan chiqadi.
Zaiflikdan faqat qattiq Huffman kodlariga asoslangan siqish strategiyasi yordamida foydalanish mumkin. Shunga o'xshash strategiya Z_FIXED opsiyasi kodda aniq yoqilganda tanlanadi (Z_FIXED opsiyasidan foydalanishda buzilishga olib keladigan ketma-ketlik misoli). Kodga ko'ra, agar ma'lumotlar uchun hisoblangan optimal va statik daraxtlar bir xil o'lchamga ega bo'lsa, Z_FIXED strategiyasi avtomatik ravishda tanlanishi mumkin.
Zaiflikdan foydalanish shartlarini standart Z_DEFAULT_STRATEGY siqish strategiyasi yordamida tanlash mumkinmi yoki yo'qmi hali aniq emas. Aks holda, zaiflik aniq Z_FIXED opsiyasidan foydalanadigan muayyan tizimlar bilan chegaralanadi. Agar shunday bo'lsa, zaiflikdan etkazilgan zarar juda muhim bo'lishi mumkin, chunki zlib kutubxonasi de-fakto standarti bo'lib, ko'plab mashhur loyihalarda, jumladan Linux yadrosi, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkgda qo'llaniladi. , rpm, Git , PostgreSQL, MySQL va boshqalar.
Manba: opennet.ru