Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Bron: C|Net

C|Net meldt dat er een redelijk ernstige bug in zlib library is ontdekt. De zlib library wordt door veel programma's op diverse besturingssystemen gebruikt, waaronder Linux, Solaris en een aantal BSD varianten. De zlib library maakt het mogelijk om eenvoudig data te comprimeren voor bijvoorbeeld verzending over een netwerk.

Voor zover bekend is de bug, die door door een Linux gebruiker is ontdekt en door medewerkers van RedHat is onderzocht, nog niet in de praktijk misbruikt. Dit is waarschijnlijk echter maar een kwestie van tijd. Het vervelende van dit probleem in de zlib library is dat hij door veel programma's wordt gebruikt. Helaas is het niet mogelijk om door de bestanden van de library te updaten het probleem op te lossen, omdat veel programma's 'statisch' gebruik maken van de library. Dit houdt in dat de code van de zlib library in het programma is gecompiled, en dus niet uitsluitend verwijst naar de library.

De zlib library wordt onder andere gebruikt door X11 (de grafische interface van veel Unix varianten), Mozilla, VNC, Flash en Abiword. In veel gevallen is de zlib library dus statically linked, wat er op neer komt dat heel het programma moet worden geupdate om het probleem op te lossen. Een geupdate versie van de zlib library is reeds beschikbaar:

zlib compressie library A flaw in a software-compression library used in all versions of Linux could leave the lion's share of systems based on the open-source operating system open to attack, said sources in the security community on Monday.

Several other operating systems that use open-source components are vulnerable too varying degrees as well.

The software bug--known as a double-free vulnerability--causes key memory-management functions in the zlib compression library to fail, a condition that could allow a smart attacker to compromise computers over the Internet, said Dave Wreski, director for open-source security company Guardian Digital.

Met dank aan Femme voor de tip.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (45)

Mozilla 0.9.9 heeft deze bug niet meer lees ik net :)
Wat is het nou, security.nl e.d zeggen dat de lek zit in alles voor 1.1.4, maar RedHat's updates zijn van versie 1.1.3 :? Iemand enig idee hoe dit zit?
En Debian ook zag ik. Ze hebben de fix die in 1.1.4 zit ge-backport naar hun 1.1.3. Dus het gat ben je kwijt maar je hebt niet de overige nieuwtjes die er misschien in 1.1.4 zitten.
Zo doen ze dat wel vaker, compatibiliteit is heel wat makkelijker te garanderen als je alleen de bugs fixt ipv nieuwe features introduceren.
Ahso, dus ik kan gerust verder slapen na wat RedHat dozen met die aangegeven patch te hebben gepatched? :P
In de tekst staat het niet duidelijk maar volgens mij is alleen de linux versie van de zlib besmet door deze bug. Voornamelijk door glibc. FreeBSD is volgens mij veilig voor deze bug, dit omdat ze een eigen libc hebben.
De zlib is gewoon dezelfde neem ik aan, libc heeft er weinig mee te maken, de fout zit echt in de zlib. Er staat gewoon een keer teveel free() in om het bot te zeggen.
De FreeBSD malloc() en free() implementatie houd een lijst bij van wat er al vrij gegeven is. En geeft dus bij een extra free een melding dat die ruimte al vrij gemaakt is, maar zal niet nog eens de ruimte vrijgeven.
De linux emulatie is natuurlijk niet bug free maar dat is logisch aangezien dit zowat een gehele copy van redhat is.
Voor Solaris heb ik zlib ook maar opnieuw gecompileerd. zelfde source dus zelfde bug lijkt me. Dus misschien moeten de BSD gebruikers ook wel een update installeren.
Ondertussen blijkt dat ook Microsoft is 'besmet' met deze bug. Men heeft gebruik gemaakt van de source van zlib, zie het artikel hier:
http://news.com.com/2100-1001-860328.html

NB, het betreft oa. IE, Office, Frontpage en Messenger.
mmzzz nu vraag ik me dus 1 ding af, zit de bug ook in de windows versie van VNC, want anders moet ik die ook maar even snelgaan updaten!
Als je slashdot had gelezen dan had je geweten dat alleen linux hier last van heeft. Dit komt vanwege de manier waarop de functie free() is geimplementeerd.
Onder windows/bsd controleert hij namelijk of het 2 keer wordt vrijgegeven oner linux niet.

Daarnaast is het extreem moeilijk om hier misbruik van te maken, een DoS op zijn hoogst. Een root exploit word door meeste mensen als theortisch beschouwd...
die gebruikt ook zlib, dus grote kans..., kijk eens of je een zlib.dll hebt
Nee die heb ik niet (waarvan ik al op de hoogte was) volgens mij zit het namelijk in WinVNC server/client build-in aangezien het bestand zlib.dll er ook niet bijgelevert wordt...dus ik hoop en denk dat er snel een nieuwe versie van WinVNC uitkomt, en anders denk ik dat ik er verstandig aan doe om het gebeuren zelf te re-compilen! (VNC = OpenSource = I love :P)
Apt-get update zlib_library :)
Dat gaat niet werken hoor :)
je mag kiezen:
apt-get update
apt-get upgrade

of

apt-get update
apt-get install zlib1g zlib1g-dev
:D Valt daar een niet-Debian gebruiker even door de mand. ;)
I just love Debian: de update is al verwerkt O+
I just love slackware: ik heb de update zelf al verwerkt ;)
Maar dan vraag ik me af: wat is het gevaar van deze bug?
Als zeer onregelmatig Linuxgebruiker heb ik geen zin in een grote update ;(
Elke zichzelf respecterende distributie heeft een security mailinglist waar exact gemeld wordt welke packages je moet updaten.

Heeft jouw distributie die niet dan lijkt mij dat een goede reden om te switchen.
Het gevaar dat iemand een exploit maakt deze van deze bug gebruikt maakt is niet denkbeeldig, maar aan de andere kant niet zo groot.

Het gaat hier namelijk om een free() call om meer dan 1 keer een stuk geheugen te releasen. Hiermee kun je in principe als attacker een DoS aanval mee uitvoeren, maar het is niet eenvoudig, en echt serieus schade toebrenge door middel van uitvoeren vreemde code (anders dan bij een buffer overflow error) is zelfs extreem lastig.

Kijk maar eens hier: http://slashdot.org/comments.pl?sid=29300&cid=3146247
hmm, da's balen. vooral als je geen breedband hebt. Gelukkig heb ik de patches binnen een paar minuten binnen, maar een kameraad van me, moet het met z'n isdn lijntje doen.

Voor mijn distro zijn alleen voor de belangrijkste apps updates. De rest zal nog wel komen. Ik gebruik SuSE 7.3
maar dan is er het feit dat je met een ISDN lijntje toch een stuk minder gevaar loopt dan met breedband. ISDN verbindingen zullen een stuk minder lang aktief zijn en mogelijk dat zelfs je ip-adres verschilt bij iedere keer dat je inlogt.
mainsrv:/home/flipz# apt-get update
Reading Package Lists... Done
Building Dependency Tree... Done
2 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 280kB of archives. After unpacking 124kB will be used.
Do you want to continue? \[Y/n] Y
Get:1 http://security.debian.org stable/updates/main ppp 2.3.11-1.5 [238kB]
Get:2 http://security.debian.org stable/updates/main zlib1g 1:1.1.3-5.1 [41.8kB]
Fetched 280kB in 1s (204kB/s)
(Reading database ... 10125 files and directories currently installed.)
Preparing to replace ppp 2.3.11-1.4 (using .../ppp_2.3.11-1.5_i386.deb) ...
Unpacking replacement ppp ...
Preparing to replace zlib1g 1:1.1.3-5 (using .../zlib1g_1%3a1.1.3-5.1_i386.deb) ...
Unpacking replacement zlib1g ...
Setting up ppp (2.3.11-1.5) ...

Setting up zlib1g (1.1.3-5.1) ...

mainsrv:/home/flipz#
Oef, was me dat 10 seconden hard werken.
* 786562 Flipz
ik gebruik debian ook en het werkt allemaal fijn dat security updaten, maar heb je ook een niet exploitable flash bijvoorbeeld?
flash en mozilla lijken me nog het meest een gevaar aangezien die in direct contact staan met internet.. (X11 zit dichtgetimmerd in debian)
en omdat flash commerciele software is zit het niet in debian. die moet ik zelf weer gaan downloaden als er een nieuwe versie is.
Over programma's die statisch gelinked zijn met zlib: er werd gewaarschuwd dat mozilla kwetsbaar was; de gisteren gereleasede mozilla 0.9.9 heeft hier echter al een fix voor:

mozilla.org today released what will be the last major milestone prior to 1.0, Mozilla 0.9.9. New features in this release include TrueType font support on Unix, SOAP support enabled, MathML support enabled on platforms that support it, new Print Preview toolbar, new Full Screen mode on windows, new popup window preferences, a fix for the zlib vulnerablility on Linux, and more.
bron: http://www.mozillazine.org/

Om nog even verder te gaan: in debian zijn ook voor - in ieder geval een deel- van de statisch gelinkede programma's updates beschikbaar; apt-get zei dit:
3 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 687kB of archives. After unpacking 52.2kB will be freed.
Do you want to continue? \[Y/n]
Get:1 http://security.debian.org stable/updates/main ppp 2.3.11-1.5 [238kB]
Get:2 http://security.debian.org stable/updates/main zlib1g 1:1.1.3-5.1 [41.8kB]
(...knip...)
Dat zit dus ook wel goed.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True