速修复！这个严重的Zlib内存损坏漏洞已存在17年！

 聚焦源代码安全，网罗国内外最新资讯！

作者：Jessica Lyons Hardcastle

编译：代码卫士团队

谷歌Project Zero 团队研究员 Tavis Ormandy 在开源软件安全邮件列表中对CVE-2018-25032发出警报，他在定位压缩工具崩溃时发现了该漏洞。他指出，“我向上游报告，但结果发现该漏洞早在2018年就已经存在但一直没有发布补丁。就我所知，没有人为此分配CVE编号。”

而且，当2018年4月Eideticom 公司的研究员 Danilo Ramos 报道该漏洞时，它已存在13年之久，意味着17年来该漏洞一直存在且一直在等待潜在exploit。

修复方案从未进入 Zlib 软件更新。本月报告该漏洞几天后，Ormandy 展示了针对该库支持的默认和非默认压缩策略的PoC exploit。这意味着在尝试解压时，通过恶意构造的压缩数据的应用程序或网络服务可能会崩溃。

简言之，它是一个内存损坏缺陷：如果用户提供的数据是特殊构造的，那么通过界外写，依赖于zlib 压缩这类数据的软件可崩溃终止。比如，根据受用户控制数据使用方式的不同，某些备份运营和日志记录可能会异常停止。该漏洞的CVSS 评分为7.5，属于高危级别。

该漏洞之所以严重，不仅因为它已存在将近20年的时间，而且因为开源的 Zlib 使用广泛，即存在很多潜在的利用机会。Zlib 的算法 DEFLATE 在1996年就已成为互联网标准，出现在很多文件格式和协议中，用于压缩和扩展数据，而处理这些输入的软件将很可能使用zlib。Sophos 公司指出，很多项目都在使用Zlib，如 Firefox、Edge、Chromium 和 Tor，PDF 阅读器Xpdf，媒体播放器 VLC，Word 和 Excel 可兼容软件 LibreOffice，以及图像编辑器 GIMP等。

Sophos 解释称，“平常使用的很多app 中将包括代码，不仅是为了在读取代码时解压 Zlib 数据，还为了在保持或发送数据时压缩成Zlib 格式，因为DEFLATE 就像是压缩数据的通用语。”

就像在1998年报告的那样，该Zlib 漏洞可导致待处理缓冲区中的数据覆写距离符号表，从而导致界外访问，使应用程序崩溃并可能引发拒绝服务。Orca Security 公司的研究员 Tohar Braun 提醒称，虽然该漏洞可导致拒绝服务攻击，“目前，虽然该漏洞似乎无法导致远程代码执行，但随着分析师开始调查该漏洞，也有可能导致远程代码执行。”

该漏洞补丁已发布在 Github上，安全分析师建议更新至 Zlib 版本1.2.12。Linux 发行版本 Ubuntu 和 Alpine 等已经在最新发布中实现了该修复方案。用户应当从操作系统厂商的最新更新中，安装不易受影响的 zlib 共享库；开发人员应当确保软件包不依赖于易受攻击的依赖版本，尽快推出应用或服务更新。