パスワードを忘れた? アカウント作成
15616969 story
バグ

zlib に 17 年前から存在し、4 年前から放置されていた脆弱性が修正される 21

ストーリー by nagazou
修正 部門より
headless 曰く、

zlib に 17 年前から存在し、4 年前に報告されたものの放置されていた脆弱性が修正された (The Register の記事Tavis Ormandy 氏の oss-security メーリングリスト投稿)。

この脆弱性はメモリ破損の脆弱性で、離れた位置の一致を多数含むファイルを圧縮しようとした場合に出力結果が破損するというもの。4 年前に 13 年前の zlib 1.2.2.2 から存在する脆弱性として報告されてパッチもコミットされていたが、このパッチがリリース版に含まれることはなく、今回 Google Project Zero の Tavis Ormandy 氏が再発見するまで CVE 番号さえも割り当てられずに放置されていた。今回の再発見を受け、2018 年に報告された脆弱性を示すCVE番号 CVE-2018-25032 が 3 月 25 日に割り当てられ、zlib 1.2.12 で修正されている。

  • by Anonymous Coward on 2022年04月04日 17時56分 (#4226831)

    展開時だったらそれを狙って攻撃しようとするのも出てくるだろうけど

    ここに返信
    • by Anonymous Coward

      ログファイルのローテート時に圧縮されることを見越して仕込んでおく…とか。
      logrotateってrootで実行されるよね。

      あとは、libpngがzlibを使うから、PNG圧縮がかかったときに発動するように細工する…とか。
      考えつかないでもないが、かなり難しそう。

    • by Anonymous Coward

      このバグでzlib自体をクラッシュさせることも可能であり、zlibはウェブサーバーが転送データを圧縮するのに使う、ということを考えると、悪用の可能性がいろいろ出てくると思う。

      • by Anonymous Coward

        クラッシュするだけならせいぜいwebサーバーを落とすサービス拒否攻撃止まりじゃん。shellcodeの実行に繋げられたらヤバい

      • by Anonymous Coward

        特定のパターンのデータを圧縮する時にクラッシュする
        のと
        特定のパターンのデータを展開する時にクラッシュする
        のでは後者の方が圧倒的に仕込み易いと思わん?

  • by Anonymous Coward on 2022年04月04日 16時27分 (#4226767)

    これはヒドい…

    ここに返信
    • by Anonymous Coward

      一人でメンテしてるみたいだし、嫌ならフォークしろとしか言えんやろうな。。。

      xkcdのまさにこれ [xkcd.com]思い出したわ

      • by Anonymous Coward on 2022年04月04日 18時52分 (#4226856)

        実際フォークされてる
        Chromium (とそれを利用するAOSP ) では2018 年中にバックポートしてあるよ、と中の人からコメントがついていた

      • by Anonymous Coward

        CVEはメンテナンス担当者や開発者だけでなく、報告者自身がすることもできるんですけどね・・・

        # まぁ精神的なプレッシャーにしかならんが

        • by Anonymous Coward

          zlib はライセンスだけオープンソースの、クローズドな開発体制らしく
          アクセプトされたPRは一つもないけどな

        • by Anonymous Coward

          「CVE」と「フォーク」の違いが分かってないのか

  • by Anonymous Coward on 2022年04月04日 16時34分 (#4226775)

    パッチのコミットはzlibの開発者のひとりで、レポジトリの主のMark Adlerみたいですけど、放置されちゃうこともあるのね。
    皆さん、忙しすぎるのでしょうか。

    お疲れ様です&修正作業ありがとうございます。>zlib関係者様

    #毎日間接的にお世話になっているはず。

    ここに返信
  • by Anonymous Coward on 2022年04月04日 17時23分 (#4226806)

    zlib.dllそのものとzlibwapi.dllで呼び出すものとあるから
    片方だけ上げてもアプリケーションがエラーはいたりするかもですね

    # 更にx86とx64もあってアプリケーションごとに持ってるっていう更新の面倒臭さ

    ここに返信
  • by Anonymous Coward on 2022年04月04日 19時40分 (#4226878)

    あれも過去のすべてのバージョンに脆弱性があったまま10年以上も気付かなかったんだっけ?

    ここに返信
  • by Anonymous Coward on 2022年04月05日 0時11分 (#4226968)

    ソースを公開することで世界中の人たちが見てくれるからバグもすぐに修正されるんだよ!
    なんて紹介されてた時期もあったね

    ここに返信
    • by Anonymous Coward on 2022年04月05日 0時56分 (#4226986)

      「すぐに」はお前が勝手に付け足しただけだろ

        • by Anonymous Coward

          それは「オープンソースだから」ではなくて一大プロジェクトとして「バグ修正強化月間」に取り組んだ結果だね

          • by Anonymous Coward

            ソースコード分析ツールを提供しているCoverityは、32件のオープンソースプロジェクトを初めて調査したが、その結果を発表してから2週間以内に、900個を超える脆弱性が修復されたという。同社は米国時間4月3日、現在では一部のソフトウェアからバグが一掃されたとする声明を出した。

            • by Anonymous Coward

              うん、オープンソースだとバグの発見はしやすいよね。メンテナが修正してくれるとは限らないけど。それで何が言いたいの?

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...