Buffer overflow via zlib

Posté par Laurent Mazet (site web personnel) le 12 mars 2002 à 14:48. Modéré par Yann Hirou.

Étiquettes : aucune

mar.

2002

D'après une news de CNET, il serait possible d'exploiter un buffer overflow de la bibliothèque zlib via différents programmes (Mozilla par exemple). Le problème a l'air serieux : RedHat a déjà mis à jour des packages pour pallier à ce probleme (zlib, cvs, dump, rsync, kernel)

NdM : le CERT a également émis une note sur le sujet.

Aller plus loin

News sur CNET (4 clics)
CERT (5 clics)
Package sur RedHat (4 clics)

# CNET, garant de votre sécurité

Posté par Annah C. Hue (site web personnel) le 12 mars 2002 à 15:00. Évalué à 1.

Maintenant c'est CNET qui divulgue les vulnérabilités ? Ben on est pas dans la merde connaissant leur compétences en sécurité informatique.

C'est pas très malin de repomper /. bêtement, faudrait pas que linuxfr devienne comme eux.
- [^] # Re: CNET, garant de votre sécurité
  
  Posté par pwet pwet le 12 mars 2002 à 15:07. Évalué à 7.
  
  Hello,
  
  ouais enfin c'etait aussi sur zdnet et sur un autre site linux donc ...
  Il n'y a pas que CNET (heureusement ;p)
  
  Debian a deja sorti des packages.
  - [^] # Re: CNET, garant de votre sécurité
    
    Posté par kalahann le 13 mars 2002 à 10:43. Évalué à 0.
    
    Debian a deja sorti des packages
    
    Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
    - [^] # Re: CNET, garant de votre sécurité
      
      Posté par #3588 le 13 mars 2002 à 14:50. Évalué à 0.
      
      Encore faut-il que les gens mettent une ligne debian-security dans leur sources.list! Y'a pas si longtemps, le programme d'install ne le demandait pas, et il fallait le deviner!
      
      La ligne y est, il suffit de la décommenter en meme temps que les 2 autres (serveurs principaux US et non-US). Ces 3 lignes sont consécutives, sans meme une ligne vide pour les séparer... Je parle d'une install avec la 2.2r0 (ie aout 2000)... le "y a pas si longtemps" remonte à Debian 2.1 ou bien tu parles d'une installation un peu particulière ? Quoiqu'il en soit la ligne n'est pas à "deviner", mais au pire à décommenter...
- [^] # Re: CNET, garant de votre sécurité
  
  Posté par Laurent Mazet (site web personnel) le 12 mars 2002 à 15:48. Évalué à 6.
  
  Je ne suis pas top fier d'avoir pompe ca sur /. mais j'ai considere qu'un avis sur un buffer overflow devait passer sur linuxfr. Il vaut mieux une redite que d'ignorer le probleme.
  
  Laurent
  - [^] # Re: CNET, garant de votre sécurité
    
    Posté par Annah C. Hue (site web personnel) le 12 mars 2002 à 15:50. Évalué à -5.
    
    Je ne critique pas la news, mais la source de la news... Par exemple tu aurais pu donner le lien principal : http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) au lieu de faire de la pub pour CNET. (j'aime pas CNET)
    - [^] # Re: CNET, garant de votre sécurité
      
      Posté par kalahann le 13 mars 2002 à 10:51. Évalué à 4.
      
      Ce n'est même pas le pb de CNET ou d'un autre, mais dans tous les cas il faut citer la source la plus directe, ça fait moins téléphone arabe. Combien de fois ils font des erreurs en traduisant ou en résumant...
  - [^] # Re: CNET, garant de votre sécurité
    
    Posté par oink le 12 mars 2002 à 16:34. Évalué à 10.
    
    Ca tombe bien car si tu lit bien l'advisory de Zlib ( http://www.gzip.org/zlib/advisory-2002-03-11.txt(...) ), tu te rendra compte que ce n'est pas du tout un buffer overflow, cette vulnerabilite est simplement un double-free (un pointeur free() deux foix), qui provoque simplement un segfault.
    Dans tous les cas il n'y a aucuns debordements de buffer, ensuite.. la seule chose que certaines personnent peuvent en tirer est un simple DoS qui pourrait par exemple faire tomber un service ou planter un navigateur (qui utiliserait la libpng, qui elle meme utilise zlib).
    Ce n'est donc pas si critique, il n'y a pas vraiment a s'alarmer :)
    - [^] # Re: CNET, garant de votre sécurité
      
      Posté par oink le 12 mars 2002 à 16:52. Évalué à 7.
      
      apres reflexion, ca peut etre exploitable.... mais ce n'est pas un buffer overflow :)
# [HS] grammaire

Posté par Olivier le 12 mars 2002 à 15:04. Évalué à 10.

Totalement hors sujet, mais juste pour dire que le verbe "pallier" est transitif. Donc on ne dit pas " ~~pour pallier à ce problème~~ " mais "pour pallier ce problème"

Hop, -1
(même si pourtant c'est une faute qui est beaucoup trop entendue)
- [^] # Re: [HS] grammaire
  
  Posté par Laurent Mazet (site web personnel) le 12 mars 2002 à 15:52. Évalué à -3.
  
  J'ai tourne la formule trois fois dans ma tete... mais ca n'a pas suffit. A quand un module ispell dans linuxfr :-)
  - [^] # Re: [HS] grammaire
    
    Posté par woof le 12 mars 2002 à 20:50. Évalué à -2.
    
    s/linuxfr/daCode < http://www.dacode.org(...) >/;
    
    patches are welcome (meme si integrer ispell ca doit etre un peu .. lourd =)
  - [^] # Re: [HS] grammaire
    
    Posté par kalahann le 13 mars 2002 à 11:06. Évalué à -3.
    
    Ispell gère la grammaire? je croyais qu'il ne gérait que l'orthographe...
- [^] # Re: [HS] grammaire
  
  Posté par quad le 12 mars 2002 à 17:11. Évalué à 9.
  
  C'est effectivement une faute fréquente.
  Dans le même esprit, je tenais à signaler que le
  verbe pallier a le sens de :
  
  "trouver une solution TEMPORAIRE à un problème".
  
  Quand on veut parler d'une solution définitive, il
  me serait agréable de voir le verbe obvier, qui,
  comme par hasard, est intransitif : obvier à un problème.
  
  Fabrice.
  - [^] # Re: [HS] grammaire
    
    Posté par Olivier le 12 mars 2002 à 20:43. Évalué à 2.
    
    En fait "obvier" est aussi transitif. Mais ce dernier est indirect => le COD est introduit par une préposition. "pallier" est transitif direct => le COD n'est pas précédé d'une préposition.
    
    Un verbe intransitif ne prend jamais de COD (par ex, partir est intransitif).
    
    Hop, -1, c'est pas Da French Grammaire Page ici ;)
  - [^] # Re: [HS] grammaire
    
    Posté par Olivier Jeannet le 14 mars 2002 à 11:16. Évalué à 1.
    
    Merci à guinness pour la correction intiale, je m'apprêtais à la faire.
    
    Pour être tout à fait précis, le verbe pallier vient d'un mot latin qui signifie "manteau"; pallier veut dire en quelque sorte "recouvrir le problème", "masquer le problème", il s'agit en effet de contournement et non pas de résolution.
    Les "soins palliatifs" sont bien ce qu'ils veulent dire, ils ne soignent pas vraiment mais permettent de soulager les gens qui souffrent, souvent des cancéreux condamnés.
# Debian aussi

Posté par Gaël Le Mignot le 12 mars 2002 à 15:06. Évalué à 8.

La Debian possède aussi des paquets fixés, dans la Sid en tout cas:
zlib (1:1.1.3-19.1) unstable; urgency=high * Non-maintainer upload * Apply patch for double-free bug -- Matt Zimmerman <mdz@debian.org> Sun, 10 Mar 2002 23:52:20 -0500
- [^] # Re: Debian aussi
  
  Posté par Benjamin Michotte le 13 mars 2002 à 08:59. Évalué à 1.
  
  Slack aussi... cfr les ftp (idem pour le bug de securité de rsync)
  
  Par la meme occasion, mettez a jour le pkg cvs.tgz qui etait linké statiquement avec zlib
# Patchs

Posté par ours Ours (site web personnel) le 12 mars 2002 à 15:11. Évalué à -4.

Est-ce moi où le rythme de découverte de bugs sérieux depuis 10 jours devient infernal ?
Après PHP, SSH, ZLIB est là pour montrer que le salaire de l'administrateur réseau est justifié :)

Arf, soit, commencons la mise à jour :'
- [^] # Re: Patchs
  
  Posté par matiasf le 12 mars 2002 à 15:32. Évalué à 1.
  
  Installes Windows. T'aura beaucoup moins de travail puisque les correctifs n'existent pas.
  - [^] # Re: Patchs
    
    Posté par ours Ours (site web personnel) le 12 mars 2002 à 16:10. Évalué à 1.
    
    Bonne réponse :))))
    Mais en passant, c'est normal pour une console de jeux
  - [^] # Re: Patchs
    
    Posté par ronounours le 12 mars 2002 à 16:26. Évalué à -10.
    
    N'empeche qu'on s'apercoit semaine apres
    semaine que Linux c'est pas si securise que ca.
    Vive les programmes libres et leurs programmeurs
    ''talentueux''.
    
    ** Ronounours **
    - [^] # Re: Patchs
      
      Posté par lorill (site web personnel) le 12 mars 2002 à 16:41. Évalué à -1.
      
      et comme tu t'en rends compte, les correctifs sont déja la.
      - [^] # Re: Patchs
        
        Posté par ours Ours (site web personnel) le 12 mars 2002 à 17:06. Évalué à -1.
        
        Evidemment puisque la correction est venue en même temps que la découverte du bug :))
        (Bon c'est souvent le cas vu que c'est de l'open source)
        
        Bref vive l'open source
        
        [^] # Re: Patchs
        
        Posté par pasBill pasGates le 12 mars 2002 à 20:19. Évalué à 0.
        
        La correction est venue en meme temps que L'ANNONCE du bug.
        
        Le bug je peux t'assurer qu'ils le connaissaient depuis plusieurs jours voire plusieurs semaines avant la release.
        
        Quand tu changes du code dans une librairie, meme si le changement est mineure, tu fais une passe de test sur les softs utilisant la lib, et zlib ca concerne un sacre nombre de softs, les distrib ont pas fait ca en 5 minutes.
        
        [^] # Re: Patchs
        
        Posté par ours Ours (site web personnel) le 13 mars 2002 à 09:34. Évalué à -1.
        
        Arf tu as probablement raison, mais une personne bien informée pourrait prendre le CVS
    - [^] # Re: Patchs
      
      Posté par G. R. (site web personnel) le 12 mars 2002 à 16:45. Évalué à 9.
      
      Ta remarque tombe à coté.
      En effet, PHP, SSH et zlib sont tous trois non dépendant de Linux. On les trouve sur d'autres plateformes, comme Windows par exemple.
      
      Même si effectivement, Linux n'est pas exempt de bugs et de trous de sécurité (comme tout système informatique, sauf peut être quelques vieux mainframes), il reste quand même que l'ouverture du code permet entre autre une grande rapidité dans le nettoyage et la correction de ces manquements.
      - [^] # Re: Patchs
        
        Posté par ours Ours (site web personnel) le 12 mars 2002 à 17:02. Évalué à -8.
        
        Arf
        j'estime que non
        Je vais expliquer pourquoi, ils sont totalement dépendants des systèmes unix en général bien qu'il y aie eu des portages. Si un hébergeur prends la décision de prendre NT comme OS, ce sera l'asp et sql server qui seront mis en avant pour ne faire le comparatif qu'avec PHP.
        
        (En passant, je n'ai jamais mentionné que j'utilisais linux, perso j'utilise FreeBSD)
        
        [^] # Re: Patchs
        
        Posté par #3588 le 12 mars 2002 à 17:49. Évalué à 3.
        
        Je vais expliquer pourquoi, ils sont totalement dépendants des systèmes unix en général bien qu'il y aie eu des portages. Si un hébergeur prends la décision de prendre NT comme OS, ce sera l'asp et sql server qui seront mis en avant pour ne faire le comparatif qu'avec PHP.
        
        Où est l'explication ? Je ne vois qu'un "exemple", avec une relation disons "d'affinité", pas de dépendance. Concernant le développement, là, aucun lien.
    - [^] # Re: Patchs
      
      Posté par pas_moi le 13 mars 2002 à 11:38. Évalué à 2.
      
      /sbin/trolld: segfault
    - [^] # Re: Patchs
      
      Posté par nemrod le 13 mars 2002 à 23:18. Évalué à 1.
      
      Juste une petite remarque en passant.
      
      Il y a beaucoup de programmess qui utilisent la zlib. Pas que sous linux ou *unix d'ailleurs !
      
      Pour les curieux :
      http://www.gzip.org/zlib/apps.html(...)
      
      et les plus curieux rechercherons la chaine de caractére Microsoft (non je ne fais pas de fixation sur eux ;-)
      
      Personne n'aurait les sources pour une ptiote recompilation (-;
  - [^] # Re: Patchs
    
    Posté par pasBill pasGates le 12 mars 2002 à 20:22. Évalué à -8.
    
    Comme c'est mignon ca.
    
    J'aimerais tellement que ce soit vrai, ca voudrait dire que je suis paye a rien foutre.
    
    Enfin bon, vaut mieux inventer des defauts chez l'adversaire plutot que regarder la verite en face hein...
# Toutes les distributions

Posté par FRLinux (site web personnel) le 12 mars 2002 à 15:33. Évalué à 4.

publient depuis hier des patches et RPMs pour corriger le probleme, mes petits serveurs sont mis a jour depuis ce matin.

Pour une bonne lecture sur les failles, je conseille http://www.linuxtoday.com(...) qui delivre du pur pengouin en zinc tous les matins :)

Steph
# Mozilla 0.9.9 patché

Posté par Olivier Cahagne le 12 mars 2002 à 15:40. Évalué à 5.

vu la proximité des 2 news... :) Mozilla 0.9.9 est a priori intact à cette vulnérabilité car patché (voir les release notes). Les nightlies doivent également être ok à partir de la 2002030303...
Pour les soucieux, l'info se trouve dans le bug 126898 (accès restreint) et dans mozilla/modules/zlib/src/infblock.c
# Patch zlib

Posté par Buto le 12 mars 2002 à 15:46. Évalué à 8.

Il est conseillé de passer à la version 1.1.4 de zlib, qui elle est patchée: http://www.gzip.org/zlib/(...)
# from slack world

Posté par Sebastien le 12 mars 2002 à 16:40. Évalué à 10.

Extrait du change log de la slack 8 :
Mon Mar 11 13:32:40 PST 2002
patches/packages/zlib.tgz: Upgraded to zlib-1.1.4. This fixes a security
problem which may introduce vulnerabilities into any program that links with
zlib. Quoting the advisory on zlib.org:

"Depending upon how and where the zlib routines are called from the given
program, the resulting vulnerability may have one or more of the following
impacts: denial of service, information leakage, or execution of arbitrary
code."

Sites are urged to upgrade the zlib package immediately.

The complete advisory may be found here:
http://www.zlib.org/advisory-2002-03-11.txt(...)

Le package de la zlib à jour est ici :
ftp://ftp.lip6.fr/pub/linux/distributions/slackware/patches/packag(...)
# OpenBSD : pas de soucis!

Posté par j le 12 mars 2002 à 19:56. Évalué à 10.

OpenBSD n'est pas vulnerable pour deux raisons :
- son implementation assez particuliere de malloc/free
- le bogue a de plus ete corrige debut Janvier par Todd (dans la -current) . Mais il pensait juste avoir corrige un bogue, pas un trou de secu :)
# Hors sujet : news sur linuxfr

Posté par Code34 (site web personnel) le 13 mars 2002 à 00:16. Évalué à -6.

2 considérations sur les news sur linuxfr:

Je suis assez mécontent du système de news sur linuxfr. Cela fait déjà deux fois que je propose des news, la première concernant le développement d'un logiciel opengl qui sera intégré dans la Mandrake (je crois que c est bien d encourager les nouveaux projets), et la deuxieme sur le procès Sun-Microsoft qui est l'une des plus grosses news de la journée...

Je ne comprends pas l'éxigence des modérateurs, quand dans une journée qui a étée remplie d'évenements on voit seulement deux news de postées (dont l une sur la zlib et l'autre sur mozilla)... On a mme pas signalé que geko sera intégré dans aol 8.0 ... Comme quoi, j imagine que le système a du etre saturé au point de ne pas pouvoir consulter le reste des posts.

Modéré c est bien, mais bien modéré c'est mieux. Quand a moi, ça ne me donne pas envie de m'investir plus dans l'émission de news...

@+
Code34
- [^] # Mea culpa
  
  Posté par Code34 (site web personnel) le 13 mars 2002 à 01:15. Évalué à -6.
  
  Je n'ai reçu que ce soir sur mon email caramail (qui a foiré tt la journée) un mail qui a été émis quelques minutes après mon post:
  
  12/03/2002 08:59:17
  
  Bonjour,
  
  La nouvelle que tu as proposé a précédemment déjà été approuvée par un
  modérateur, elle a donc été refusée.
  
  Cordialement,
  
  Les modérateurs LinuxFr
  
  Excusez moi, il y a donc des modérateurs sur linuxfr qui modèrent bien ;) Par contre, je n'ai pas vu cette fameuse news concernant le procès Sun-Microsoft, j'ai donc du passer à coté ...
  
  @+
  Code34
  - [^] # Re: Mea culpa
    
    Posté par Miod in the middle le 13 mars 2002 à 01:29. Évalué à -1.
    
    Elle est dans la section "autres".

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.