Навигация

Популярные статьи

Авторские и переводные статьи

Пресс-релизы

Регистрация на сайте


Опрос
Какие телеканалы вы смотрите чаще?







В LZO и LZ4 нашли уязвимость 20-летней давности


29 июня 2014 | Софт / На русском языке / Мир | Добавил: Olga Kravtsova
В алгоритмах распаковки Lempel-Ziv-Oberhumer (LZO) и LZ4 исправлена уязвимость двадцатилетней давности. Брешь способна стать причиной повреждения областей памяти при распаковке специально оформленных сжатых данных. Согласно данным исследователей из Mouse Security, проблема вызвана целочисленным переполнением, проявляющимся при обработке Literal Run.

«Literal Run – это просто способ обнаружения и интерпретации бинарного кода. Атакуя этот функционал, злоумышленник может использовать данные для контролирования уязвимого приложения непредусмотренным способом, - подчеркивает глава компании Дон Бейли (Don Bailey). - В результате, [злоумышленник] может удаленно скомпрометировать систему или повысить привилегии».

Уязвимость просуществовала столь длительный период времени в связи с традицией повторного использования кода. Именно поэтому брешь затрагивает весьма широкий круг продуктов: от открытых библиотек до мобильных устройств. Согласно утверждениям специалистов Mouse Security, уязвимость почти всегда можно проэксплуатировать удаленно.

По данным ИБ-экспертов, эксплуатация уязвимости позволяет осуществить DoS-атаку. Помимо прочего, брешь способна повредить структуры, которые влияют на процесс выполнения кода. Правда, это касается только случаев задействования LZO в многопоточных программах.

В связи с особенностями работы алгоритма LZ4 становится возможной атакa с изменением указателя по заданному смещению. Кроме того, злоумышленник может внести изменения в часть структур, которые влияют на выполнение кода.

Наличие бреши ставит под угрозу такие программные продукты, как Linux, Juniper Junos, MPlayer2, Libav, FFmpeg, OpenVPN, а также встраиваемые платформы и устройства. Кроме того, сжатие при помощи LZO задействуется в таких файловых системах, как btrfs, squashfs, jffs2 и ubifs. LZ4, в свою очередь, используется в ZFS.

Обновления безопасности исправляют брешь в Linux 3.15.2, 3.14.9, 3.4.95 и 3.10.45. На текущий момент разрабатывается апдейт для дистрибутивов.

Источник: SecurityLab
Комментарии (0) | Распечатать | | Добавить в закладки:  

Другие новости по теме:


 



Телепрограммы для газет и сайтов.
25-ть лет стабильной работы: телепрограммы, анонсы, сканворды, кроссворды, головоломки, гороскопы, подборки новостей и другие дополнительные материалы. Качественная работа с 1997 года. Разумная цена.

Форум

Фоторепортажи

Авторская музыка

Погода

Афиша

Кастинги и контакты ТВ шоу

On-line TV

Партнеры

Друзья

Реклама

Статистика
Главная страница  |  Регистрация  |  Добавить новость Copyright © 2002-2012 Все о ТВ и телекоммуникациях. Все права защищены.