Tjugo år gammal lucka i Lempel-Ziv komprimering hotade Linux-användare
Sida 1 av 1
Tjugo år gammal lucka i Lempel-Ziv komprimering hotade Linux-användare
av Admin fre jun 27, 2014 6:14 pm
Denna sårbarhet flygs med Curiosity till Mars: The Bug i LZO metoden har funnits sedan 1994; varianten LZ4 påverkas också. I FFmpeg och libav skadlig kod kan köras från nätverket, främst Linux-användare i riskzonen.
Med upptäckten av ett heltalsspill i utkastet länge etablerade LZO komprimeringsmetod har öppnat en Pandoras ask Don A. Bailey vid säkerhetsföretaget Security Lab Mouse. Den ursprungliga utformningen av Lempel-Ziv Oberhumer metoden (LZO) är så bra att det har kopierats flera gånger sedan dess release i 1994. Den LZO algoritmen och den nyare varianten LZ4 fastnat i en massa program proprietär och öppen källkod.
Bland annat koden i Linuxkärnan, starthanteraren Grub2, Busybox, FFmpeg, MPlayer2, libav, OpenVPN och Junos OS, Juniper löpning. Men LZO LZO är inte samma sak och som ett angrepp på den sårbarhet beroende på den påverkade programvaran fungerar subtilt annorlunda. I vissa implementeringar kan en angripare orsaka en krasch och därmed överbelastningsattack, prestera och med annan skadlig kod. Bailey hade rapporterat gapet för en tid sedan till utvecklarna en rad olika berörda programmen. Det stängdes i version 3.15.2 av Linux-kärnan, har FFmpeg skapade med version 2.2.4 Remedy. Den ursprungliga LZO källkod är säker sedan version 2.07. Andra projekt har fortfarande lämpliga patchar i deras källkod eller ens arbetar på en lösning på problemet.
Hittills har Bailey inte gjort några anspråk, till exempel de olika sårbarheterna kan utnyttjas speciellt i drabbade projekt. Han vill ge utvecklare och distributörer tid att leverera sina uppdateringar. Linux-kärnan är förmodligen på grund av skillnaden i LZ4 sårbart för exekvering av skadlig kod från nätet, men endast på 32-bitarssystem.
Linux-användare bör iaktta försiktighet
Mest kritiska Bailey ser gapet i FFmpeg och libav bibliotek. Dessa är mycket vanligt, särskilt på Linux-system och ska inte användas förrän användarna är den förseglade version tillgänglig. Dessutom har många Linux-distributioner använder MPlayer2 paketet som standard som en mediaspelare i Firefox, Chrome och andra webbläsare. Dessa plug-ins är då också sårbara för utförandet av skadlig kod från nätet och snarast måste avaktiveras tills en uppdatering finns tillgänglig.
Yves-Alexis Perez av säkerhetsgruppen av Debian-utgåvan har samlat på OSS Security sändlistan, som öppen källkod påverkas av gapet. Sårbarheten i Linuxkärnan har katalogiserats CVE-2014-4611 och CVE-2014-4608; gapet i original LZO genomförandet fick CVE 2014-4607.
Med upptäckten av ett heltalsspill i utkastet länge etablerade LZO komprimeringsmetod har öppnat en Pandoras ask Don A. Bailey vid säkerhetsföretaget Security Lab Mouse. Den ursprungliga utformningen av Lempel-Ziv Oberhumer metoden (LZO) är så bra att det har kopierats flera gånger sedan dess release i 1994. Den LZO algoritmen och den nyare varianten LZ4 fastnat i en massa program proprietär och öppen källkod.
Bland annat koden i Linuxkärnan, starthanteraren Grub2, Busybox, FFmpeg, MPlayer2, libav, OpenVPN och Junos OS, Juniper löpning. Men LZO LZO är inte samma sak och som ett angrepp på den sårbarhet beroende på den påverkade programvaran fungerar subtilt annorlunda. I vissa implementeringar kan en angripare orsaka en krasch och därmed överbelastningsattack, prestera och med annan skadlig kod. Bailey hade rapporterat gapet för en tid sedan till utvecklarna en rad olika berörda programmen. Det stängdes i version 3.15.2 av Linux-kärnan, har FFmpeg skapade med version 2.2.4 Remedy. Den ursprungliga LZO källkod är säker sedan version 2.07. Andra projekt har fortfarande lämpliga patchar i deras källkod eller ens arbetar på en lösning på problemet.
Hittills har Bailey inte gjort några anspråk, till exempel de olika sårbarheterna kan utnyttjas speciellt i drabbade projekt. Han vill ge utvecklare och distributörer tid att leverera sina uppdateringar. Linux-kärnan är förmodligen på grund av skillnaden i LZ4 sårbart för exekvering av skadlig kod från nätet, men endast på 32-bitarssystem.
Linux-användare bör iaktta försiktighet
Mest kritiska Bailey ser gapet i FFmpeg och libav bibliotek. Dessa är mycket vanligt, särskilt på Linux-system och ska inte användas förrän användarna är den förseglade version tillgänglig. Dessutom har många Linux-distributioner använder MPlayer2 paketet som standard som en mediaspelare i Firefox, Chrome och andra webbläsare. Dessa plug-ins är då också sårbara för utförandet av skadlig kod från nätet och snarast måste avaktiveras tills en uppdatering finns tillgänglig.
Yves-Alexis Perez av säkerhetsgruppen av Debian-utgåvan har samlat på OSS Security sändlistan, som öppen källkod påverkas av gapet. Sårbarheten i Linuxkärnan har katalogiserats CVE-2014-4611 och CVE-2014-4608; gapet i original LZO genomförandet fick CVE 2014-4607.
Admin- Admin
- Antal inlägg : 129
Registreringsdatum : 14-05-07
Ort : Umeå -
Sida 1 av 1
Behörigheter i detta forum:
Du kan inte svara på inlägg i det här forumet