Heise - Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih, recimo OpenVPN, MPlayer2, Libav, FFmpeg in drugih, je kar 20 let vsebovala hrošča, ki je omogočal ranljivost. Luknja je bila sicer precej specifična in je terjala natančno poznavanje implementacije, a kdor jo je poznal, bi lahko v teoriji pripravil niz podatkov, ki bi povzročil prekoračitev obsega celih števil (integer overflow).
Ker je implementacija algoritma iz leta 1994, ki jo je napisal Markus Oberhumer, veljala za robustno, učinkovito in varno, so jo uporabljali v številnih programih. To je med drugim povzročilo, da jo najdemo celo v roverjih, ki vozita po Marsu, čeprav tam ni nikogar, ki bi jo zmogel zlorabiti. A imata mikrokrmilnike, ki so ranljivi.
O ranljivosti piše Don A. Bailey iz podjetja Lab Mouse Security, že lani pa jo je odkril razvijalec uTorrenta Ludwig Strigeus. Kot pojasnjuje Yann Collet, so praktične zlorabe ranljivosti praktično nemogoče, ker so omejene na 32-bitni sistem (s čimer odpadejo vsi strežniki) in ker bi potrebovali več kot 16 MB dolge bloke stisnjenih podatkov, ki bi jih bral dekoder, kar je v nasprotju z izpeljanim standardom LZ4 (najdemo ga na primer v ZFS), ki je v teoriji tudi ranljiv.
Vseeno so ranljivost sedaj zakrpali, ker to ne uničuje združljivosti za nazaj in bi v nasprotnem primeru lahko v prihodnosti povzročila težave. V verziji LZO 2.07 je napaka odpravljena. Zanimiva je zlasti zaradi svoje dolgoživosti, medtem ko se po resnosti in posledicah ne more meriti, denimo, s Heartbleedom.
Komedija... pa sm spet mislu, da je celotna linux koda prebrana, pa očitno tega noben več ne bere ko se jo enkrat napiše... Pa še traja več kot eno leto da pofixajo en bug...
Mogoče nebi bilo slabo dodati v novico kaj bi lahko s to ranljivosto dosegel (sesutje programa, ki uporablja to implementacijo, zagon zlonamerne kode itd...)
Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...
Se vid da si tehnično totalno nepismen...
Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?
A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.
Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...
Se vid da si tehnično totalno nepismen...
Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?
A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.
Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...
Se vid da si tehnično totalno nepismen...
Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?
A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.
Jasno stojimo za stališčem, da je odprta koda bolj varna. Nikoli pa nismo širili tega, kar ti impliciraš [EDIT: trdiš]. Tako da te bom prosil za kakšen citat. Lahko pa tudi opravičilo. :) Ker če se kdo tu ven vleče si to ti.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Implementacija algoritma za stiskanje podatkov LZO (Lempel-Ziv-Oberhumer), ki jo najdemo v Linuxovem jedru in številnih projektih,...
Se vid da si tehnično totalno nepismen...
Za razliko od tebe, mi misliš, da z občasnim pregledom najdeš vse buge?
A zdej pa samo občasni pregledi kode???? A se lohk nehate ven vlečt, ker ste patetični že... Najprej se zagovarjate, kolk se open source bere non-stop in da bugov ne more bit, ko pa se odkrije 20 let star bug, pa kao: ja ne moreš non-stop kode brat, med občasnim pregledom ne moreš najdit bug-ov... sami sebe v protislovje mečete.
Jasno stojimo za stališčem, da je odprta koda bolj varna. Nikoli pa nismo širili tega, kar ti impliciraš [EDIT: trdiš]. Tako da te bom prosil za kakšen citat. Lahko pa tudi opravičilo. :) Ker če se kdo tu ven vleče si to ti.
Ko ne gre drugač pa obtožbe in branjenje... kot vedno... pljuvanje v lastno skledo...
Pazi, da ti ne bo Mavrik citiral pravil (sorry, po tem postu odneham, ker očitno mima smisla). Ker če ne najdeš relevantnih citatov s tega foruma, ki jih po tvojem mora biti veliko, potem pač nisi relevanten sogovornik.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.