Mivel népszerű megoldásról van szó, számos cég újraírta az LZO-t. Viszont a blog szerint közös mindegyik átiratban, hogy kivétel nélkül az eredeti szerző, Markus F.X.J. Oberhumer nyílt forrású alapimplementációját vette alapul. Az elérhető nyílt forrású implementációk:
- Oberhumer LZO (core/referencia nyílt forrású implementáció)
- Linux kernel LZO implementációja
- Libav LZO implementációja
- FFmpeg LZO implementációja
- Linux kernel LZ4 implementációja
- LZ4 core/referencia implementáció
A Lab Mouse Security szerint noha észrevehetően eltérő implementációkról van szó, mindegyik ugyanúgy sebezhető.
A meglehetősen bő lére eresztett blogbejegyzés a bugról elolvasható itt.
A sebezhetőség híre eljutott az eredeti szerzőhöz, Markus F.X.J. Oberhumer-hez is, aki kiadta a LZO 2.07-es verzióját, amely javítja a potenciális sebezhetőséget. (Majd kiadta a 2.08-as verziót is, ami kisebb bejelentett fordítási hibákat orvosol.)
Oberhumer a következőket mellékelte a 2.07-es kiadás mellé:
TL;DR: the Linux kernel is *not* affected; media hype.
Részletek itt.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
A lényeg:
"... Each variant of the LZO and LZ4 implementation is vulnerable in slightly different ways. The attacker must construct a malicious payload to fit each particular implementation. One payload cannot be used to trigger more than a DoS on each implementation. Because of the slightly different overflow requirements, state machine subtleties, and overflow checks that must be bypassed, even a worldwide DoS is not a simple task.
This results in completely different threats depending on the implementation of the algorithm, the underlying architecture, and the memory layout of the target application. Remote Code Execution (RCE) is possible on multiple architectures and platforms, but absolutely not all. Denial of Service is possible on most implementations, but not all. Adjacent Object Over-Write (OOW) is possible on many architectures."
- A hozzászóláshoz be kell jelentkezni
Ha már a listázásnál tartunk. ZFS-ben is *lehet* LZO tömörítést használni.
- A hozzászóláshoz be kell jelentkezni
Ha jól értem, akkor
- Csak 32 bites rendszerek érintettek
- És egy rosszindulatúan összerakott tömörített adatot kell megetetni az LZO kicsomagoló részével
A sima becsomagolom-kicsomagolom esetben nem jön elő a hiba.
A ZFS maximum olyankor érintett, ha egy idegen helyről származó, rosszindúlatúan módosított ZFS poolt fel akarnék mountolni. Azért ez elég ritka csillag-együttálásnál fordul csak elő, míg mondjuk egy OpenVPN gyakran találkozik olyan csomaggal, amit nem ő maga tömörített be előtte.
- A hozzászóláshoz be kell jelentkezni
"If buffers of sixteen (16) megabytes or more can be passed to the LZO or LZ4 decompress routine in one call, then exploitation of the integer overflow is possible. For example, ZFS constrains buffer sizes to 128k. So, even though they use a vulnerable implementation of LZ4, an attack is not possible without a second bug to bypass the buffer size constraint. "
- A hozzászóláshoz be kell jelentkezni
sokszemlapda
- A hozzászóláshoz be kell jelentkezni
Azért ez nem annyira könnyen kihasználható hiba. Szerintem már más is észrevette korábban, de nem tulajdonított neki jelentőséget az extrém nagy puffer miatt.
Mondjuk ahhoz két szem is elég, hogy nem "lapda", hanem labda.
- A hozzászóláshoz be kell jelentkezni
lapda? komolyan?
- A hozzászóláshoz be kell jelentkezni
"Szundít a lapda, meg a sip"
ki monta?
- A hozzászóláshoz be kell jelentkezni
koltonek erzed magad?
- A hozzászóláshoz be kell jelentkezni
nekem tokmindegy, 2014-et irunk
- A hozzászóláshoz be kell jelentkezni
a bohoc dolga ugyis szorakoztatni ;)
- A hozzászóláshoz be kell jelentkezni
a koltonek is
Puppy linux felhasználó || distrowatch/puppy || Please, think on the kittens || –„”»«
- A hozzászóláshoz be kell jelentkezni
Akkor lehet élnek a Marson, csak meghekkelték a Curiosity-t.
"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."
- A hozzászóláshoz be kell jelentkezni
Itt a bizonyíték :)
http://youtube.com/watch?v=4gZkyHWYmRg
- A hozzászóláshoz be kell jelentkezni
A Marson ki a halál használ LZO-t?
http://kozpontiujsag.hu/?p=1173
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba
- A hozzászóláshoz be kell jelentkezni
Debunking the LZ4 "20 years old bug" myth
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ahogy gondoltam, tehat mas is megtalalta mar csak nem tulajdonitott neki akkora jelentoseget..
- A hozzászóláshoz be kell jelentkezni