Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Zranitelnost ve 20 let starém algoritmu se dotýká milionů osobních počítačů, telefonů a dokonce i vozítka na Marsu

Autor: Batou   
28.6.2014

Algoritmus LZO byl poprvé implementován v roce 1994 a nyní existuje v řadě mutací v linuxovém jádře, Androidu atp. - všude tam, kde je potřeba extrémně rychlá komprese dat. V těchto dnech však byla zveřejněna jeho slabina.


Algoritmus LZO (Lempel-Ziv-Oberhumer) má i přes svůj název (lempl v názvu) jedinečné vlastnosti. Posláním LZO je komprese/dekomprese dat, přičemž jeho hlavní devizou je rychlost dekomprese. Tu má až 5 vyšší než jeho konkurenti, proto je využíván všude tam, kde je to potřeba. Například v linuxovém jádře. Najdeme ho v Mac OS, Androidu, Playstationu či v knihovnách OpenVPN, MPlayer2 nebo třeba FFmpeg.

Kupodivu však také na Marsu, kde se již 2 roky prohání v útrobách Curiosity, jehož mise je naplánována do roku 2020. Jak však experti z NASA situaci komentovali, je podle nich velmi nepravděpodobné, že by se nějakému útočníkovi podařilo vůbec k jeho ovládání dostat, natož nahrát vhodný payload.

Zranitelnosti, které LZO postihují, mají následující označení:

  • CVE-2014-4607 - LZO code
  • CVE-2014-4608 (LZO) - Kernel code
  • CVE-2014-4609 - Libav
  • CVE-2014-4610 - FFmpeg
  • CVE-2014-4611 (LZ4) - Kernel code

Původně byl implementován v ANSI C, dnes ho však najdeme také v Perlu, Pythonu či Javě. Nalezená zranitelnost umožňuje přetečení zásobníku, DoS nebo vzdálené vykonání kódu. Je však zapotřebí zajistit, aby se program implementující algoritmus snažil dekomprimovat více než 16 MB dat jediným voláním funkce, která se o to stará. Ukázky kódu a mnohem více informací naleznete na blogu SecurityMouse.

LZO je opraven ve verzi 2.07 a v linuxovém jádře verze 3.15.2.

Zdroj: http://thehackernews.com/2014/06/20-years-old-vulnerability-…


Social Bookmarking

     





Hodnocení/Hlasovalo: 2/2

1  2  3  4  5    
(známkování jako ve škole)