» »

Odpravili 20 let starega hrošča

Odpravili 20 let starega hrošča

vir: Heise
Heise - Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih, recimo OpenVPN, MPlayer2, Libav, FFmpeg in drugih, je kar 20 let vsebovala hrošča, ki je omogočal ranljivost. Luknja je bila sicer precej specifična in je terjala natančno poznavanje implementacije, a kdor jo je poznal, bi lahko v teoriji pripravil niz podatkov, ki bi povzročil prekoračitev obsega celih števil (integer overflow).

Ker je implementacija algoritma iz leta 1994, ki jo je napisal Markus Oberhumer, veljala za robustno, učinkovito in varno, so jo uporabljali v številnih programih. To je med drugim povzročilo, da jo najdemo celo v roverjih, ki vozita po Marsu, čeprav tam ni nikogar, ki bi jo zmogel zlorabiti. A imata mikrokrmilnike, ki so ranljivi.

O ranljivosti piše Don A. Bailey iz podjetja Lab Mouse Security, že lani pa jo je odkril razvijalec uTorrenta Ludwig Strigeus. Kot pojasnjuje Yann Collet, so praktične zlorabe ranljivosti praktično nemogoče, ker so omejene na 32-bitni sistem (s čimer odpadejo vsi strežniki) in ker bi potrebovali več kot 16 MB dolge bloke stisnjenih podatkov, ki bi jih bral dekoder, kar je v nasprotju z izpeljanim standardom LZ4 (najdemo ga na primer v ZFS), ki je v teoriji tudi ranljiv.

Vseeno so ranljivost sedaj zakrpali, ker to ne uničuje združljivosti za nazaj in bi v nasprotnem primeru lahko v prihodnosti povzročila težave. V verziji LZO 2.07 je napaka odpravljena. Zanimiva je zlasti zaradi svoje dolgoživosti, medtem ko se po resnosti in posledicah ne more meriti, denimo, s Heartbleedom.

15 komentarjev

Nummy ::

Komedija...
pa sm spet mislu, da je celotna linux koda prebrana, pa očitno tega noben več ne bere ko se jo enkrat napiše...
Pa še traja več kot eno leto da pofixajo en bug...

hojnikb ::

Kaj ima LZO veze z linuxom ?
#brezpodpisa

Nummy ::

hojnikb je izjavil:

Kaj ima LZO veze z linuxom ?


Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...


Se vid da si tehnično totalno nepismen...

hojnikb ::

Tudi v ostalih sistemih jo najdeš, zakaj potem druge ne krivimo ?
#brezpodpisa

3p ::

Ja, nič presenetljivega... glede na oceno, da se v 1000 vrsticah kode skriva v provprečju ~7 hroščev (če se prav spomnim številke).

johnnyyy ::

naj bi izjavil:

, ki je omogočal ranljivost.

Mogoče nebi bilo slabo dodati v novico kaj bi lahko s to ranljivosto dosegel (sesutje programa, ki uporablja to implementacijo, zagon zlonamerne kode itd...)

Nummy je izjavil:

pa sm spet mislu, da je celotna linux koda prebrana, pa očitno tega noben več ne bere ko se jo enkrat napiše...

Lahko jo prebereš vsak večer za lahko noč pa ni nujno, da boš odkril napako.

Poldi112 ::

Nummy je izjavil:

hojnikb je izjavil:

Kaj ima LZO veze z linuxom ?


Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...


Se vid da si tehnično totalno nepismen...


Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Nummy ::

Poldi112 je izjavil:

Nummy je izjavil:

hojnikb je izjavil:

Kaj ima LZO veze z linuxom ?


Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...


Se vid da si tehnično totalno nepismen...


Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?

A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.

SleepyFE ::

Nummy je izjavil:

Poldi112 je izjavil:

Nummy je izjavil:

hojnikb je izjavil:

Kaj ima LZO veze z linuxom ?


Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...


Se vid da si tehnično totalno nepismen...


Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?

A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.


Haters gonna hate. Set -flag="ignore"

Poldi112 ::

Nummy je izjavil:

Poldi112 je izjavil:

Nummy je izjavil:

hojnikb je izjavil:

Kaj ima LZO veze z linuxom ?


Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...


Se vid da si tehnično totalno nepismen...


Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?

A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.


Jasno stojimo za stališčem, da je odprta koda bolj varna. Nikoli pa nismo širili tega, kar ti impliciraš [EDIT: trdiš]. Tako da te bom prosil za kakšen citat. Lahko pa tudi opravičilo. :) Ker če se kdo tu ven vleče si to ti.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Nummy ::

Poldi112 je izjavil:

Nummy je izjavil:

Poldi112 je izjavil:

Nummy je izjavil:

hojnikb je izjavil:

Kaj ima LZO veze z linuxom ?


Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...


Se vid da si tehnično totalno nepismen...


Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?

A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.


Jasno stojimo za stališčem, da je odprta koda bolj varna. Nikoli pa nismo širili tega, kar ti impliciraš [EDIT: trdiš]. Tako da te bom prosil za kakšen citat. Lahko pa tudi opravičilo. :) Ker če se kdo tu ven vleče si to ti.

Ko ne gre drugač pa obtožbe in branjenje... kot vedno... pljuvanje v lastno skledo...

Mavrik ::

Ok, zdaj bo pa dosti prerekanja brez argumentov o temi ki nima veze s to novico.
The truth is rarely pure and never simple.

Poldi112 ::

Pazi, da ti ne bo Mavrik citiral pravil (sorry, po tem postu odneham, ker očitno mima smisla). Ker če ne najdeš relevantnih citatov s tega foruma, ki jih po tvojem mora biti veliko, potem pač nisi relevanten sogovornik.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

TESKAn ::

Pač pretepa slamnatega moža.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

lunamit ::

Aha, pa smo odkrili zakaj je en rover crknu (Spirit 2009) :))
There are 10 types of people. Those who understand binary and those who don't.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

V TLS odkrita 19 let stara ranljivost

Oddelek: Novice / Varnost
2913073 (10663) SeMiNeSanja
»

Huda ranljivost v vseh napravah z Wi-Fi (strani: 1 2 )

Oddelek: Novice / Varnost
7225472 (20437) SeMiNeSanja
»

Ranljivost v Linuxu in Androidu prisotna tri leta (strani: 1 2 )

Oddelek: Novice / Varnost
7422944 (18283) SeMiNeSanja
»

Odpravili 20 let starega hrošča

Oddelek: Novice / Varnost
158603 (5699) lunamit
»

The saga continues

Oddelek: Informacijska varnost
81452 (1240) denial

Več podobnih tem