Buffer overflow via zlib

Posté par  (site web personnel) . Modéré par Yann Hirou.
Étiquettes : aucune
0
12
mar.
2002
Linux
D'après une news de CNET, il serait possible d'exploiter un buffer overflow de la bibliothèque zlib via différents programmes (Mozilla par exemple). Le problème a l'air serieux : RedHat a déjà mis à jour des packages pour pallier à ce probleme (zlib, cvs, dump, rsync, kernel)

NdM : le CERT a également émis une note sur le sujet.

Aller plus loin

  • # CNET, garant de votre sécurité

    Posté par  (site web personnel) . Évalué à 1.

    Maintenant c'est CNET qui divulgue les vulnérabilités ? Ben on est pas dans la merde connaissant leur compétences en sécurité informatique.

    C'est pas très malin de repomper /. bêtement, faudrait pas que linuxfr devienne comme eux.
    • [^] # Re: CNET, garant de votre sécurité

      Posté par  . Évalué à 7.

      Hello,

      ouais enfin c'etait aussi sur zdnet et sur un autre site linux donc ...
      Il n'y a pas que CNET (heureusement ;p)

      Debian a deja sorti des packages.
      • [^] # Re: CNET, garant de votre sécurité

        Posté par  . Évalué à 0.

        Debian a deja sorti des packages

        Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
        • [^] # Re: CNET, garant de votre sécurité

          Posté par  . Évalué à 0.

          Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!

          La ligne y est, il suffit de la décommenter en meme temps que les 2 autres (serveurs principaux US et non-US). Ces 3 lignes sont consécutives, sans meme une ligne vide pour les séparer... Je parle d'une install avec la 2.2r0 (ie aout 2000)... le "y a pas si longtemps" remonte à Debian 2.1 ou bien tu parles d'une installation un peu particulière ? Quoiqu'il en soit la ligne n'est pas à "deviner", mais au pire à décommenter...
    • [^] # Re: CNET, garant de votre sécurité

      Posté par  (site web personnel) . Évalué à 6.

      Je ne suis pas top fier d'avoir pompe ca sur /. mais j'ai considere qu'un avis sur un buffer overflow devait passer sur linuxfr. Il vaut mieux une redite que d'ignorer le probleme.

      Laurent
      • [^] # Re: CNET, garant de votre sécurité

        Posté par  (site web personnel) . Évalué à -5.

        Je ne critique pas la news, mais la source de la news... Par exemple tu aurais pu donner le lien principal : http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) au lieu de faire de la pub pour CNET. (j'aime pas CNET)
        • [^] # Re: CNET, garant de votre sécurité

          Posté par  . Évalué à 4.

          Ce n'est même pas le pb de CNET ou d'un autre, mais dans tous les cas il faut citer la source la plus directe, ça fait moins téléphone arabe. Combien de fois ils font des erreurs en traduisant ou en résumant...
      • [^] # Re: CNET, garant de votre sécurité

        Posté par  . Évalué à 10.

        Ca tombe bien car si tu lit bien l'advisory de Zlib ( http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) ), tu te rendra compte que ce n'est pas du tout un buffer overflow, cette vulnerabilite est simplement un double-free (un pointeur free() deux foix), qui provoque simplement un segfault.
        Dans tous les cas il n'y a aucuns debordements de buffer, ensuite.. la seule chose que certaines personnent peuvent en tirer est un simple DoS qui pourrait par exemple faire tomber un service ou planter un navigateur (qui utiliserait la libpng, qui elle meme utilise zlib).
        Ce n'est donc pas si critique, il n'y a pas vraiment a s'alarmer :)
  • # [HS] grammaire

    Posté par  . Évalué à 10.

    Totalement hors sujet, mais juste pour dire que le verbe "pallier" est transitif. Donc on ne dit pas " pour pallier à ce problème " mais "pour pallier ce problème"

    Hop, -1
    (même si pourtant c'est une faute qui est beaucoup trop entendue)
    • [^] # Re: [HS] grammaire

      Posté par  (site web personnel) . Évalué à -3.

      J'ai tourne la formule trois fois dans ma tete... mais ca n'a pas suffit. A quand un module ispell dans linuxfr :-)
    • [^] # Re: [HS] grammaire

      Posté par  . Évalué à 9.

      C'est effectivement une faute fréquente.
      Dans le même esprit, je tenais à signaler que le
      verbe pallier a le sens de :

      "trouver une solution TEMPORAIRE à un problème".

      Quand on veut parler d'une solution définitive, il
      me serait agréable de voir le verbe obvier, qui,
      comme par hasard, est intransitif : obvier à un problème.

      Fabrice.
      • [^] # Re: [HS] grammaire

        Posté par  . Évalué à 2.

        En fait "obvier" est aussi transitif. Mais ce dernier est indirect => le COD est introduit par une préposition. "pallier" est transitif direct => le COD n'est pas précédé d'une préposition.

        Un verbe intransitif ne prend jamais de COD (par ex, partir est intransitif).

        Hop, -1, c'est pas Da French Grammaire Page ici ;)
      • [^] # Re: [HS] grammaire

        Posté par  . Évalué à 1.

        Merci à guinness pour la correction intiale, je m'apprêtais à la faire.

        Pour être tout à fait précis, le verbe pallier vient d'un mot latin qui signifie "manteau"; pallier veut dire en quelque sorte "recouvrir le problème", "masquer le problème", il s'agit en effet de contournement et non pas de résolution.
        Les "soins palliatifs" sont bien ce qu'ils veulent dire, ils ne soignent pas vraiment mais permettent de soulager les gens qui souffrent, souvent des cancéreux condamnés.
  • # Debian aussi

    Posté par  . Évalué à 8.

    La Debian possède aussi des paquets fixés, dans la Sid en tout cas:

    zlib (1:1.1.3-19.1) unstable; urgency=high

    * Non-maintainer upload
    * Apply patch for double-free bug

    -- Matt Zimmerman <mdz@debian.org> Sun, 10 Mar 2002 23:52:20 -0500
    • [^] # Re: Debian aussi

      Posté par  . Évalué à 1.

      Slack aussi... cfr les ftp (idem pour le bug de securité de rsync)

      Par la meme occasion, mettez a jour le pkg cvs.tgz qui etait linké statiquement avec zlib
  • # Patchs

    Posté par  (site web personnel) . Évalué à -4.

    Est-ce moi où le rythme de découverte de bugs sérieux depuis 10 jours devient infernal ?
    Après PHP, SSH, ZLIB est là pour montrer que le salaire de l'administrateur réseau est justifié :)

    Arf, soit, commencons la mise à jour :'
    • [^] # Re: Patchs

      Posté par  . Évalué à 1.

      Installes Windows. T'aura beaucoup moins de travail puisque les correctifs n'existent pas.
      • [^] # Re: Patchs

        Posté par  (site web personnel) . Évalué à 1.

        Bonne réponse :))))
        Mais en passant, c'est normal pour une console de jeux
      • [^] # Re: Patchs

        Posté par  . Évalué à -10.

        N'empeche qu'on s'apercoit semaine apres
        semaine que Linux c'est pas si securise que ca.
        Vive les programmes libres et leurs programmeurs
        ''talentueux''.

        ** Ronounours **
        • [^] # Re: Patchs

          Posté par  (site web personnel) . Évalué à -1.

          et comme tu t'en rends compte, les correctifs sont déja la.
          • [^] # Re: Patchs

            Posté par  (site web personnel) . Évalué à -1.

            Evidemment puisque la correction est venue en même temps que la découverte du bug :))
            (Bon c'est souvent le cas vu que c'est de l'open source)

            Bref vive l'open source
            • [^] # Re: Patchs

              Posté par  . Évalué à 0.

              La correction est venue en meme temps que L'ANNONCE du bug.

              Le bug je peux t'assurer qu'ils le connaissaient depuis plusieurs jours voire plusieurs semaines avant la release.

              Quand tu changes du code dans une librairie, meme si le changement est mineure, tu fais une passe de test sur les softs utilisant la lib, et zlib ca concerne un sacre nombre de softs, les distrib ont pas fait ca en 5 minutes.
        • [^] # Re: Patchs

          Posté par  (site web personnel) . Évalué à 9.

          Ta remarque tombe à coté.
          En effet, PHP, SSH et zlib sont tous trois non dépendant de Linux. On les trouve sur d'autres plateformes, comme Windows par exemple.

          Même si effectivement, Linux n'est pas exempt de bugs et de trous de sécurité (comme tout système informatique, sauf peut être quelques vieux mainframes), il reste quand même que l'ouverture du code permet entre autre une grande rapidité dans le nettoyage et la correction de ces manquements.
          • [^] # Re: Patchs

            Posté par  (site web personnel) . Évalué à -8.

            Arf
            j'estime que non
            Je vais expliquer pourquoi, ils sont totalement dépendants des systèmes unix en général bien qu'il y aie eu des portages. Si un hébergeur prends la décision de prendre NT comme OS, ce sera l'asp et sql server qui seront mis en avant pour ne faire le comparatif qu'avec PHP.

            (En passant, je n'ai jamais mentionné que j'utilisais linux, perso j'utilise FreeBSD)
            • [^] # Re: Patchs

              Posté par  . Évalué à 3.

              Je vais expliquer pourquoi, ils sont totalement dépendants des systèmes unix en général bien qu'il y aie eu des portages. Si un hébergeur prends la décision de prendre NT comme OS, ce sera l'asp et sql server qui seront mis en avant pour ne faire le comparatif qu'avec PHP.

              Où est l'explication ? Je ne vois qu'un "exemple", avec une relation disons "d'affinité", pas de dépendance. Concernant le développement, là, aucun lien.
        • [^] # Re: Patchs

          Posté par  . Évalué à 2.

          /sbin/trolld: segfault
        • [^] # Re: Patchs

          Posté par  . Évalué à 1.

          Juste une petite remarque en passant.

          Il y a beaucoup de programmess qui utilisent la zlib. Pas que sous linux ou *unix d'ailleurs !

          Pour les curieux :
          http://www.gzip.org/zlib/apps.html(...)

          et les plus curieux rechercherons la chaine de caractére Microsoft (non je ne fais pas de fixation sur eux ;-)

          Personne n'aurait les sources pour une ptiote recompilation (-;
      • [^] # Re: Patchs

        Posté par  . Évalué à -8.

        Comme c'est mignon ca.

        J'aimerais tellement que ce soit vrai, ca voudrait dire que je suis paye a rien foutre.

        Enfin bon, vaut mieux inventer des defauts chez l'adversaire plutot que regarder la verite en face hein...
  • # Toutes les distributions

    Posté par  (site web personnel) . Évalué à 4.

    publient depuis hier des patches et RPMs pour corriger le probleme, mes petits serveurs sont mis a jour depuis ce matin.

    Pour une bonne lecture sur les failles, je conseille http://www.linuxtoday.com(...) qui delivre du pur pengouin en zinc tous les matins :)

    Steph
  • # Mozilla 0.9.9 patché

    Posté par  . Évalué à 5.

    vu la proximité des 2 news... :) Mozilla 0.9.9 est a priori intact à cette vulnérabilité car patché (voir les release notes). Les nightlies doivent également être ok à partir de la 2002030303...
    Pour les soucieux, l'info se trouve dans le bug 126898 (accès restreint) et dans mozilla/modules/zlib/src/infblock.c
  • # Patch zlib

    Posté par  . Évalué à 8.

    Il est conseillé de passer à la version 1.1.4 de zlib, qui elle est patchée: http://www.gzip.org/zlib/(...)
  • # from slack world

    Posté par  . Évalué à 10.

    Extrait du change log de la slack 8 :
    Mon Mar 11 13:32:40 PST 2002
    patches/packages/zlib.tgz: Upgraded to zlib-1.1.4. This fixes a security
    problem which may introduce vulnerabilities into any program that links with
    zlib. Quoting the advisory on zlib.org:

    "Depending upon how and where the zlib routines are called from the given
    program, the resulting vulnerability may have one or more of the following
    impacts: denial of service, information leakage, or execution of arbitrary
    code."

    Sites are urged to upgrade the zlib package immediately.

    The complete advisory may be found here:
    http://www.zlib.org/advisory-2002-03-11.txt(...)


    Le package de la zlib à jour est ici :
    ftp://ftp.lip6.fr/pub/linux/distributions/slackware/patches/packag(...)
  • # OpenBSD : pas de soucis!

    Posté par  . Évalué à 10.

    OpenBSD n'est pas vulnerable pour deux raisons :
    - son implementation assez particuliere de malloc/free
    - le bogue a de plus ete corrige debut Janvier par Todd (dans la -current) . Mais il pensait juste avoir corrige un bogue, pas un trou de secu :)
  • # Hors sujet : news sur linuxfr

    Posté par  (site web personnel) . Évalué à -6.

    2 considérations sur les news sur linuxfr:

    Je suis assez mécontent du système de news sur linuxfr. Cela fait déjà deux fois que je propose des news, la première concernant le développement d'un logiciel opengl qui sera intégré dans la Mandrake (je crois que c est bien d encourager les nouveaux projets), et la deuxieme sur le procès Sun-Microsoft qui est l'une des plus grosses news de la journée...

    Je ne comprends pas l'éxigence des modérateurs, quand dans une journée qui a étée remplie d'évenements on voit seulement deux news de postées (dont l une sur la zlib et l'autre sur mozilla)... On a mme pas signalé que geko sera intégré dans aol 8.0 ... Comme quoi, j imagine que le système a du etre saturé au point de ne pas pouvoir consulter le reste des posts.

    Modéré c est bien, mais bien modéré c'est mieux. Quand a moi, ça ne me donne pas envie de m'investir plus dans l'émission de news...

    @+
    Code34
    • [^] # Mea culpa

      Posté par  (site web personnel) . Évalué à -6.

      Je n'ai reçu que ce soir sur mon email caramail (qui a foiré tt la journée) un mail qui a été émis quelques minutes après mon post:

      12/03/2002 08:59:17

      Bonjour,

      La nouvelle que tu as proposé a précédemment déjà été approuvée par un
      modérateur, elle a donc été refusée.

      Cordialement,

      Les modérateurs LinuxFr

      Excusez moi, il y a donc des modérateurs sur linuxfr qui modèrent bien ;) Par contre, je n'ai pas vu cette fameuse news concernant le procès Sun-Microsoft, j'ai donc du passer à coté ...

      @+
      Code34

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.