Portál AbcLinuxu, 13. května 2025 00:53

20 let stará bezpečnostní chyba v LZO

Lab Mouse Security informuje o 20 let staré bezpečnostní chybě objevené v bezeztrátové kompresi LZO (Lempel–Ziv–Oberhumer). Existuje celá řada implementací LZO, většina z nich ale vychází z kódu publikovaného v roce 1994. Zranitelná je tak celá řada softwarových produktů (Linux, FFmpeg, Libav, LZO, LZ4, ...).

27.6.2014 10:36 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

27.6.2014 11:04 chrono
Rozbalit Rozbalit vše Re: 20 let stará bezpečnostní chyba v LZO
Odpovědět | Sbalit | Link | Blokovat | Admin
Väčšina tých odkazovaných programov pravdepodobne zraniteľná nie je, pretože (podľa Markusa Oberhumera) program by musel používať nezvyčajne veľký buffer pri dekomprimovaní pri jednom volaní funkcie na dekomprimovanie.
27.6.2014 16:28 CiV | skóre: 3
Rozbalit Rozbalit vše Re: 20 let stará bezpečnostní chyba v LZO
Asi tak. Viz článek Debunking the LZ4 "20 years old bug" myth
28.6.2014 10:25 Vladimír Čunát | skóre: 19
Rozbalit Rozbalit vše Re: 20 let stará bezpečnostní chyba v LZO
Díky. Cílem zpráviček (kdekoliv) by nemělo být přeposílat cokoliv se někde objeví, ale také trochu ověřovat (třeba na phoronixu mi tahle slepota taky dost vadí, plus neopravené chyby v testech, apod.).
28.6.2014 17:17 Ladislav Hagara | skóre: 105 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: 20 let stará bezpečnostní chyba v LZO
Cílem zpráviček (kdekoliv) by nemělo být přeposílat cokoliv se někde objeví, ale také trochu ověřovat.

Jak důkladně ověřovat? Nejedná se o zpětnou analýzu, ale o aktuální zprávičku.

O bezpečnostní chybě se diskutovalo v diskusním listu Open Source Security. Chyba dostala své CVE, dokonce několik (LZO CVE-2014-4607, LZ4 CVE-2014-4611, ...). Chyba byla opravena v Libav (commit) a FFmpeg (commit). Vyšla nová verze LZO. Greg Kroah-Hartman vydal Linux 3.15.2, 3.14.9, 3.10.45 a 3.4.95, ve všech je řešen problém s LZO. Nestačí to na ověření?

Mimochodem, na zmíněný článek reaguje Don A. Bailey Understanding the LZ4 Memory Corruption Vulnerability.
Odpověď nenechá na sebe dlouho čekat Let's move on.
Petr Tomášek avatar 28.6.2014 22:36 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: 20 let stará bezpečnostní chyba v LZO
Mno, ono by stačilo do zprávičky dopsat něco ve stylu: „Současné implementace algoritmu zřejmě není možné zneužít“ a dát odkaz na diskuzi...

Takhle to bude jen zbytečné strašení...
multicult.fm | monokultura je zlo | welcome refugees!
pavlix avatar 29.6.2014 15:01 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: 20 let stará bezpečnostní chyba v LZO
Však už je v diskuzi k dispozici hromada odkazů na všemožné zdroje a názory ;).
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
Jendа avatar 27.6.2014 16:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: 20 let stará bezpečnostní chyba v LZO
Odpovědět | Sbalit | Link | Blokovat | Admin
Debunking the LZ4 "20 years old bug" myth

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.