- A hozzászóláshoz be kell jelentkezni
- 1165 megtekintés
Hozzászólások
azert nem irtak le, mert ok sem tudjak. a zlib, mint neve is mutatja, pusztan egy fuggvenykonyvtar, onmagaban se nem oszt, se nem szoroz. amitol a benne levo hiba biztonsagi lyukka valik, az az ot felhasznalo programoktol ill. a helyi/tavoli felhasznalok altal beadhato adatoktol fugg. pl. ha egy ssh szerver zlibet hasznal mar jelszo hitelesites elott, akkor ezen hiba miatt jo esellyel lehet egy tavoli root exploitot irni ra. hasonlo a helyzet egy web bongeszovel is, amelyik zlibet hasznal, itt a tamado altal iranyitott szerver kepes lehet elvileg kihasznalni a kliensben levo hibat. hogy mi a valosag? neki kell esni elolvasni minden zlibet hasznalo kodot es megnezni, hogy mire jo ez a hiba az adott kod kornyezetben. en megsaccolom, hogy tenyleg van olyan, ahol kihasznalhato. ja, es mindez persze nem zlib specifikus, mas konyvtarak ugyanilyen veszelyforrast jelentenenek (pl. egy openssl hiba az apache-tol kezdve a fel vilagot erintene).
- A hozzászóláshoz be kell jelentkezni
Kicsit mintha gyengélkedne mostanában a FreeBSD biztonság, nem? Vagy ez már az a bugfix, amit a Coverity fedezett fel?
- A hozzászóláshoz be kell jelentkezni
a hiba minden zlib-et hasznalo rendszert erint, nem csak a FreeBSD-t (a tobbiek is jonnek majd szepen, csak ido kerdese ;-). amugy a bug megtalaloja (Tavis) gentoo fejleszto.
- A hozzászóláshoz be kell jelentkezni
Mivel az SA-ban nem írták le, hogy a hiba local és/vagy remote, arra lennék kíványcsi, hogy távolról kihasználható-e?
- A hozzászóláshoz be kell jelentkezni