На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-3-12 на главную / новости от 2002-3-12
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 12 марта 2002 г.

Ошибка в программе zlib делает Linux-компьютеры уязвимыми

Львиная доля систем на базе ОС с открытым исходным кодом подвергается опасности из-за ошибки библиотеки компрессии/декомпрессии данных в оперативной памяти, используемой во всех версиях Linux.

Проблема в разной степени затрагивает и некоторые другие операционные системы, использующие компоненты open-source.

Баг, называемый «уязвимостью повторного освобождения», приводит к некорректной работе важных функций управления памятью библиотеки компрессии zlib. Сообразительный хакер может воспользоваться этим, чтобы забраться в компьютер через интернет. «Эксплойт непременно появится — это лишь вопрос времени», — утверждает Дейв Рески (Dave Wreski), директор компании Guardian Digital, специализирующейся на защите ПО open-source.

Ошибка, обнаруженная пользователем Linux Маттиасом Клейзеном (Matthias Clasen) и инженером компании Red Hat Оуэном Тейлором (Owen Taylor), проявляется в любой Linux-программе, использующей для декомпрессии библиотеку zlib, в том числе в ядре операционной системы. Эту библиотеку используют многие не-Linux операционные системы, что делает уязвимыми и их. «Zlib применяется в самых разных ОС, от BSD до Solaris, — говорит технический директор Red Hat Марк Кокс (Mark Cox). — Но возможность использования этой уязвимости тоже зависит от операционной системы». Zlib применяется в графической основе Linux-десктопа X11, как и в общей платформе Linux-браузеров Netscape и Galeon. Уязвимы и многие программы редактирования изображений, в которых эта библиотека используется для компрессии данных. Функции zlib реализуются и в сетевой компрессии, «так что при подключении к непроверенным сервисам можно нарваться на злонамеренный код, который вызовет переполнение буфера, запросив область памяти определенным образом», предупреждает Рески.

«Так как ошибка находится в библиотеке, атакующий должен указывать программы, которые ее используют, — отмечает Дейв Ахмад (Dave Ahmad), менеджер по анализу угроз компании SecurityFocus. — Существует также ряд приложений, заимствующих код из этой библиотеки». Включение кода непосредственно в другие программы — так называемое статическое связывание — значительно затрудняет исправление ошибки. Если в приложениях, которые просто обращаются к zlib, проблема решается установкой новой версии библиотеки, то программу, в которую включен сам код, нужно исправлять отдельно.

Так называемая «уязвимость повторного освобождения» состоит в непредсказуемом поведении программ, использующих библиотеку компрессии zlib, когда злонамеренный код пытается освободить память более одного раза. Большинство нормальных программ не предпринимает повторных попыток освобождения памяти, разве что случайно, однако злоумышленник может воспользоваться этим методом, чтобы попытаться заставить операционную систему выполнить код, передающий ему управление компьютером.

Впервые Клейзен столкнулся с этой проблемой, когда созданное им изображение в формате open-source Portable Network Graphics (PNG) привело к аварийному завершению популярного графического редактора. Он сообщил об этом Тейлору в Red Hat, и тот выяснил, что проблема не в программе, а в библиотеке, которую она использует для декомпрессии. «Оуэн обнаружил, что проблема глубже, чем казалось сначала, — говорит Кокс из Red Hat. — Тогда мы поняли, что имеем дело с серьезной брешью в защите». Red Hat сотрудничает с Координационным центром CERT (Computer Emergency Response Team) при Университете Карнеги-Меллона, распространяя информацию об ошибке среди софтверных компаний. 

 Предыдущие публикации:
2002-02-26   Microsoft предупреждает о серьезных ошибках
2002-03-05   В дыре PHP могут расплодиться черви
2002-03-06   Алан Кокс превозносит 64-битную Linux
 В продолжение темы:
2002-03-15   Баг open-source проник в код Microsoft
2002-03-21   Можно ли положиться на open-source?
2002-10-18   ZIP — и вас сцапали
Обсуждение и комментарии
geekkoo
12 Mar 2002 3:09 PM
"...Ч ФПН ЮЙУМЕ Ч СДТЕ ПРЕТБГЙПООПК УЙУФЕНЩ..."-
оБУЛПМШЛП С ЪОБА мЙОХЛУ, СДТП ОЕ НПЦЕФ МЙОЛПЧБФШУС У ЧОЕЫОЙНЙ ВЙВМЙПФЕЛБНЙ, Ч ФПН ЮЙУМЕ Й У zlib
 

Наблюдатель
12 Mar 2002 3:46 PM
Сразу видно - линуксоид вылез:))
 

Qrot
12 Mar 2002 4:05 PM
а! ты меня опередил - я тож поглумиться хотел :)
 

Ефрейтор
12 Mar 2002 5:26 PM
2 geekkoo:
>"...в том числе в ядре операционной системы..."-
>Насколько я знаю Линукс, ядро не может линковаться
>с внешними библиотеками, в том числе и с zlib.

бНОПНЯ, однако.
Ты наверно это хотел сказать? Но кодировочку поправь, если хочешь быть понятым :)
 

me - userinternet.com
12 Mar 2002 6:18 PM
>>ядро не может линковаться
с внешними библиотеками, в том числе и с zlib.

А как же:
>> Включение кода непосредственно в другие программы — так называемое статическое связывание
???

(К слову сказать, весь мир называет это не статическим связыванием, а банальным плагиатом или даже кражей интеллектуальной собственности)
 

eXOR
12 Mar 2002 7:26 PM
2 me:
Че за гон?
 

D.Mon
12 Mar 2002 7:34 PM
Вся реклама линукса строилась на том что это супернадежная система неподверженная атакам или вирусам. Мне всегда казалось что хакеры и вирусописатели не интересовались линуксом только потому что это всего навсего 1% всех пользователей. Вот постепенно приходит время когда популярность линукса приносит свои плоды в виде дыр, вирусов и аинтивирусов и т.д. В итоге мы имеем не менее дырявую систему чем Windows XP но в отличии от Windows XP менее пригодную для работы дистрибутивы которой (SUSE) уже весит 7 CD. !!!
 

Qrot
12 Mar 2002 7:43 PM
вот ссылочка на рассылку FreeBSD по теме: http://docs.freebsd.org/cgi/getmsg.cgi?fetch=50881+0+current /freebsd-security

не совсем в zlib дело оказывается :)
 

Alex
13 Mar 2002 12:00 AM
ПОНЕСЛАСЬ!
Не удивлюсь если скоро Линуксоиды будут сами говорить что зря книжки по Виндам не читали!
Я под 2000 - месяцев 8 сижу. хоть бы раз упала !!!! ХРЕН !
Хотя гоняю ее как только могу.
 

eXOR
13 Mar 2002 1:09 AM
2 D.Mon:
Хотя для вас это видимо одно и тоже - пользоваться не умеете ни тем ни другим.

2 Alex:
2 года RH6.2 стоял. Проапдейтил до 7.2 - и что? Глюков - косяков не было. Никто ни разу не ломанул, хотя пытались.
 

Проходивший мимо
13 Mar 2002 7:18 AM
2 eXOR:
А ты адресочек кинь да свистни погромче.
Проверишь, как оно стоит.... :-)
 

Проходивший мимо
13 Mar 2002 7:22 AM
2 eXOR:
на счет echo \b\t - и что? Сам
придумал, или вычитал где на заборе
вместе с остальными своими познаниями
(в том числе, и в области русского языка)?
 

Наблюдатель
13 Mar 2002 8:57 AM
2eXOR
Да, с таким знанием командной строки, я думаю что систему не сломали по одной причине - комп не был подключен к сети.
 

Случайно зашедший
13 Mar 2002 10:29 AM
Вот что я прочитал сегодня на securitylab.ru:
На сегодняшний день нет информации об успешной эксплуатации этой ошибки. Не известно, возможно ли вообще, каким либо образом использовать этот дефект.
Так что все не так страшно...
 

me - userinternet.com
13 Mar 2002 12:06 PM
>> 2 me:
Че за гон?

eXOR, не начинай:))
 

geekkoo
13 Mar 2002 1:01 PM
Все же повторюсь...
Фраза про то что ошибка в библиотеке zlib может испортить ядро - не верна, тк ядро Линукса не пользуется внешними библиотеками
ЗЫ И я вас то же всех люблю
 

Qrot
13 Mar 2002 1:26 PM
2geekkoo: ну про включенный код вроде говорили уже? copy&paste который. а фраза - так тут если поскрести по сусекам можно такие перлы надыбать что страшно станет
 

Shadow
13 Mar 2002 3:02 PM
Вдогонку про FreeBSD.
Я так понимаю, что OpenWall патчи в ядре Linux также многие подобные ошибки делают бессмысленными.
А теперь покажите мне сервер без OW.
 

none
13 Mar 2002 3:37 PM
Еси кто еще там не был
http://online.securityfocus.com/advisories/3944
 

Ефрейтор
14 Mar 2002 1:18 PM
2 D.Mon:
Если на то пошло, то KDE надо сравнивать с NT 4.0.
В Мелкософте NT 5 лет вылизывали до Window 2000. Когда, говоришь,
KDE появился?
SuSE 7 CD говоришь, а Винда 1 CD? А ты добавать как минимуум 2 диска Back Office. Уже 3 диска получается. А Visual Studio еще
6 дисков. Вот приблизительно что нужно для нормальной работы с Windows. Итого: 7 CD SuSe и 9 дисков от MS.

 

Val
14 Mar 2002 3:30 PM
2Ефрейтор. Если 7 дисков SuSE могут покрыть все задачи Виндов, БакОфиса и Студии, я не понимаю, почему их не расхватывают как горячие пирожки и рынок еще не перевернулся!
(Сам-то понял - ЧТО сказал?)
 

Ефрейтор
14 Mar 2002 3:57 PM
2 Val:
Когда я был пионером, то "умные дядьки" покупали магнитофоны
Sony, а я брал Вегу и дорабатывал паяльником. Правда колонки
были импортные, но качество звука было одинаково. А цена
отличалась раз в 10.
Надеюсь тебе не надо объяснять, откуда у этих дядек руки растут.
 

Ефрейтор
14 Mar 2002 4:03 PM
2 Val:
Да и пирожками я не питаюсь, предпочитаю кафе - здоровье дороже.
Не буду тебе читать лекции по экономике, но у каждого продукта
есть своя ниша. Мерс вешь, конечно, хорошая, но Жигули мне
нравятся больше. Кстати, Винда у тебя лицензионная? Вот-вот.
 

glassy
15 Mar 2002 1:46 AM
2me&Val: Я с вас ныряю. Как эксплорер падает по 10 раз на день, так они привыкли, а zlib, кстати, хорошая весчь.
Только я не понял, зачем он в gimp-е вместо простого .png с png.gz работал :)
И кстати, ядро новое поставить -- piece of cake, не узнал, ока сам мне попробовал (делать нечего в отпуске) :)
 

Bosch - boschpisem.net
15 Mar 2002 1:25 PM
Как эксплорер падает по 10 раз на день...

А я вот ну постоянно поражаюсь... Господи, да вы же поди даже не пиратские диски за 70-80ь рэ покупаете, а вообще ставите проги с дискет, на которых химическим карандашом что-то нацарапано... Ну почему у меня ИЕ не падает ни по 10, ни по 5, ни по одному разу в день, неделю?... Здается мне потихоньку, что трепотня все это... Не буду ругать Линуксы и Юниксы, но И на Винды нападать зря не надо...
 

Трям
15 Mar 2002 1:43 PM
2glassy: в формате png используется libz.
 

Val
15 Mar 2002 1:58 PM
2Ефрейтор. Винда у меня - лицензионная (как и Офис, Сервера, Цитрикс и другой софт от 2 баксов до 1млн баксов - политика компании). Что значит твое "Вот-вот", Ефрейтор?
А насчет ниш - это архиправильно! Просто по твоей реплике я так понял, что ты собрался SuSом слишком большую нишу заткнуть. И насчет экономики вспомнил тоже правильно. Но это ты себя поправил, правда?
 

eXOR
15 Mar 2002 2:26 PM
2 Проходивший мимо:
> А ты адресочек кинь да свистни погромче.
Тебя за файерволл провести? Или твой win не за файерволлом? А внутренние ребятки меня долбили и флудили итд итп... и логи засирали запросами от CodeRed, и поигрался я с их машинами после этого... короче slowly we rot и всякое такое.

> придумал, или вычитал где на заборе
комплексы мучаютъ?

2 me:
Не буду ;-).

2 Bosch:
хороший пример - сам нашел недавно:
<form action="mailto: aaa@aaa.com">
<input type=submit>
</form>
IE 5.0 ведет себя уж очень забавно при нажатии на кнопку... ;-). Как другие - не знаю. А все дело в волшебных пузырьках ;-).

 

Chkaloff
15 Mar 2002 6:15 PM
2 eXOR:
IE говорит, что сейчас отошлет заполненные поля формы по email. Он предупреждает, что это не секъюрно, по этому если согласен, то подтверди. Если нажимаешь "Yes", то он пускает Outlook, в котором в поле "to" прописывает адрес, а в теле письма, поля, которые были заполнены на странице.

Так вот, а теперь вопрос. Ты это к чему привел? Просто сказать нече было, а поддержать разговор надо, да?
 

glassy
16 Mar 2002 12:33 AM
Привет всем из линукс бокса!!!
Не прошло и года, как умные люди писител приручили :)

2Bosch: я имел в виду не ИЕ, который у меня падал раз в день при его использовании на вин98, а тот експлорер, который не может сливать большие файлы по локалке.

2Skull: понимаю, ты отпуске, но за kppp пасиба. ;)
 

RIK
16 Mar 2002 11:14 PM
2 glassy
А какой эксплорер не может сливать большие файлы по локалке? Или речь идет тоже о win98? Месье некрофил?
 

glassy
17 Mar 2002 1:58 AM
Не, ну пристали! Локалка 100Мб -- ping -l 40000 -t проходит на ~50%. При попытке слития файла размером пусть 10 метров полчаса эксплорер жует мозги, потом говорит, что, дескать, куда-то сетевое имя источника испарилось, и вообще, проблемы бешеные с файловой системой. Это мой последний постинг на тему кривой работы с фс.
 

Червь
17 Mar 2002 9:16 PM
2glassy. Мужик, это похоже на "вякнул - и в кусты". Ты бы че вразумительное сказал. Ну секономили, там, третью категорию проложили.
Половину протоколов снесли и, опять же, надо было чтобы винда рядом с линухом стояла. А настраиваем, конечно же - винду (мы ее, типа, сюда не приглашали - пусть сама подстраивается).
Че - сам испугался, что глупость сморозил?
 

Qrot
18 Mar 2002 10:08 AM
2Червь: да не, он эту чушь уже в 10 раз повторяет, а отклика в наших сердцах не находит как то :) устал, наверное :)

2glassy: а раньше ты помнится про 2К это говорил. неужто там исправилось? :)
 

Qrot
18 Mar 2002 10:40 AM
2glassy: а что, Skull к kppp руку приложил? ща гадость скажу - это гавно у меня никогда нормально не работало, и по евойным сообщениям понять что ли бы возможным не представлялось.
 

Qrot
18 Mar 2002 2:08 PM
мля, s/что ли бы/что-либо
 

Ефрейтор
19 Mar 2002 11:31 AM
2 Val:
> другой софт от 2 баксов до 1млн баксов
Кинь ссылки на софт по $2 (я еще не видет ниже $10) и
на 1 мегабакс. Приходилось работать только с ГИС (под
Уних), а он не более пару сотен килобаксов стоит.
Добро?
 

Mossy
22 Mar 2002 5:52 PM
А почему Linux-то?
Я что-то про Linux специфичность дырки ничего не нашёл на сайте zlib (может плохо искал?), а Мелкософт юзает эту либу везде где можерю
 

 

← февраль 2002 8  9  10  11  12  13  14  15  18 апрель 2002 →
Реклама!
 

 

Место для Вашей рекламы!