zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される

zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 21

ストーリー by nagazou 2022年04月04日 16時08分
修正部門より

headless 曰く、

zlib に 17 年前から存在し、4 年前に報告されたものの放置されていた脆弱性が修正された (The Register の記事、 Tavis Ormandy 氏の oss-security メーリングリスト投稿)。

この脆弱性はメモリ破損の脆弱性で、離れた位置の一致を多数含むファイルを圧縮しようとした場合に出力結果が破損するというもの。4 年前に 13 年前の zlib 1.2.2.2 から存在する脆弱性として報告されてパッチもコミットされていたが、このパッチがリリース版に含まれることはなく、今回 Google Project Zero の Tavis Ormandy 氏が再発見するまで CVE 番号さえも割り当てられずに放置されていた。今回の再発見を受け、2018 年に報告された脆弱性を示すCVE番号 CVE-2018-25032 が 3 月 25 日に割り当てられ、zlib 1.2.12 で修正されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索21コメント Log In/Create an Account

圧縮時じゃな (スコア:1)

by Anonymous Coward on 2022年04月04日 17時56分 (#4226831)

展開時だったらそれを狙って攻撃しようとするのも出てくるだろうけど
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ログファイルのローテート時に圧縮されることを見越して仕込んでおく…とか。
  logrotateってrootで実行されるよね。
  あとは、libpngがzlibを使うから、PNG圧縮がかかったときに発動するように細工する…とか。
  考えつかないでもないが、かなり難しそう。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  このバグでzlib自体をクラッシュさせることも可能であり、zlibはウェブサーバーが転送データを圧縮するのに使う、ということを考えると、悪用の可能性がいろいろ出てくると思う。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    クラッシュするだけならせいぜいwebサーバーを落とすサービス拒否攻撃止まりじゃん。shellcodeの実行に繋げられたらヤバい
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    特定のパターンのデータを圧縮する時にクラッシュする
    のと
    特定のパターンのデータを展開する時にクラッシュする
    のでは後者の方が圧倒的に仕込み易いと思わん？
CVE 番号さえも割り当てられずに放置 (スコア:0)

by Anonymous Coward on 2022年04月04日 16時27分 (#4226767)

これはヒドい…
- Re: (スコア:0)
  
  by Anonymous Coward
  
  一人でメンテしてるみたいだし、嫌ならフォークしろとしか言えんやろうな。。。
  xkcdのまさにこれ [xkcd.com]思い出したわ
  - Re:CVE 番号さえも割り当てられずに放置 (スコア:1)
    
    by Anonymous Coward on 2022年04月04日 18時52分 (#4226856)
    
    実際フォークされてる
    Chromium (とそれを利用するAOSP ) では2018 年中にバックポートしてあるよ、と中の人からコメントがついていた
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    CVEはメンテナンス担当者や開発者だけでなく、報告者自身がすることもできるんですけどね・・・
    # まぁ精神的なプレッシャーにしかならんが
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      zlib はライセンスだけオープンソースの、クローズドな開発体制らしく
      アクセプトされたPRは一つもないけどな
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      「CVE」と「フォーク」の違いが分かってないのか
レポジトリ主のコミットなのに忘れてしまうのね (スコア:0)

by Anonymous Coward on 2022年04月04日 16時34分 (#4226775)

パッチのコミットはzlibの開発者のひとりで、レポジトリの主のMark Adlerみたいですけど、放置されちゃうこともあるのね。
皆さん、忙しすぎるのでしょうか。
お疲れ様です＆修正作業ありがとうございます。＞zlib関係者様
＃毎日間接的にお世話になっているはず。
zlibって (スコア:0)

by Anonymous Coward on 2022年04月04日 17時23分 (#4226806)

zlib.dllそのものとzlibwapi.dllで呼び出すものとあるから
片方だけ上げてもアプリケーションがエラーはいたりするかもですね
# 更にx86とx64もあってアプリケーションごとに持ってるっていう更新の面倒臭さ
OpenSSLにも似たようなのがあったなぁ (スコア:0)

by Anonymous Coward on 2022年04月04日 19時40分 (#4226878)

あれも過去のすべてのバージョンに脆弱性があったまま10年以上も気付かなかったんだっけ？
オープンソースって (スコア:0)

by Anonymous Coward on 2022年04月05日 0時11分 (#4226968)

ソースを公開することで世界中の人たちが見てくれるからバグもすぐに修正されるんだよ！
なんて紹介されてた時期もあったね
- Re:オープンソースって (スコア:1)
  
  by Anonymous Coward on 2022年04月05日 0時56分 (#4226986)
  
  「すぐに」はお前が勝手に付け足しただけだろ
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    オープンソース開発者、指摘された大量のバグを速やかに修復 [zdnet.com]
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      それは「オープンソースだから」ではなくて一大プロジェクトとして「バグ修正強化月間」に取り組んだ結果だね
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ソースコードの分析ツールを提供しているCoverityは、32件のオープンソースプロジェクトを初めて調査したが、その結果を発表してから2週間以内に、900個を超える脆弱性が修復されたという。同社は米国時間4月3日、現在では一部のソフトウェアからバグが一掃されたとする声明を出した。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        うん、オープンソースだとバグの発見はしやすいよね。メンテナが修正してくれるとは限らないけど。それで何が言いたいの？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 21

zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される More ログイン

圧縮時じゃな (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

CVE 番号さえも割り当てられずに放置 (スコア:0)

Re: (スコア:0)

Re:CVE 番号さえも割り当てられずに放置 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

レポジトリ主のコミットなのに忘れてしまうのね (スコア:0)

zlibって (スコア:0)

OpenSSLにも似たようなのがあったなぁ (スコア:0)

オープンソースって (スコア:0)

Re:オープンソースって (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド