Security, zlib

[medV2]

Heute hat sich ja ein schöner zlib Abgrund aufgetan: https://www.heise.de/news/Alte-Sich...ennte-Codeschmuggel-ermoeglichen-6657233.html

Kennt jemand den Status dazu von FreeBSD? Weder auf der Announce noch der normalen Security ML finde ich was dazu. zlib ist aber Teil das Basissystems also sollten wir eigentlich betroffen sein?

LG

 

[Andy_m4]

Ich würde jetzt erst mal davon ausgehen, das FreeBSD betroffen ist. Das hat die zlib (wie von Dir schon angemerkt) direkt im Basis-System:
https://cgit.freebsd.org/src/tree/sys/contrib/zlib

Und zwar in der Version 1.2.11 und erst in der Version 1.2.12 ist der Fix für die Lücke drin, wie deren Homepage zu entnehmen ist:
https://zlib.net/

Allerdings kann es gut sein das dies zu updaten nicht unbedingt reicht. Einzige Programme binden die zlib nicht unbedingt brav als Shared-Library ein, sondern haben eine Kopie direkt bei sich im Quelltext. Wie z.B. die libpng:
http://ftp-osl.osuosl.org/pub/libpng/src/
Und vermutlich auch noch ein paar andere Programme die Bedarf an Kompression haben.

Insofern wird es vermutlich ohnehin größere Kreise ziehen und in naher Zukunft einige Security Advisories dazu aufploppen.

Teilweise haben die auch schon reagiert und da gibts auch schon Patches für die bei Mozilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=1761799

 

[medV2]

Ich würde jetzt erst mal davon ausgehen, das FreeBSD betroffen ist. Das hat die zlib (wie von Dir schon angemerkt) direkt im Basis-System:
https://cgit.freebsd.org/src/tree/sys/contrib/zlib

Und zwar in der Version 1.2.11 und erst in der Version 1.2.12 ist der Fix für die Lücke drin, wie deren Homepage zu entnehmen ist:
https://zlib.net/

Ja, mich wundert nur dass auf den FreeBSD Securitylisten bis jetzt dazu nichts zu sehen ist.
https://zlib.net/

Allerdings kann es gut sein das dies zu updaten nicht unbedingt reicht. Einzige Programme binden die zlib nicht unbedingt brav als Shared-Library ein, sondern haben eine Kopie direkt bei sich im Quelltext. Wie z.B. die libpng:
http://ftp-osl.osuosl.org/pub/libpng/src/
Und vermutlich auch noch ein paar andere Programme die Bedarf an Kompression haben.

Insofern wird es vermutlich ohnehin größere Kreise ziehen und in naher Zukunft einige Security Advisories dazu aufploppen.

Teilweise haben die auch schon reagiert und da gibts auch schon Patches für die bei Mozilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=1761799

Ja, das war meine heutige Tagesbeschäftigung Wenns da tatsächlich halbwegs einfache Exploits gibts demnächst, wird das ein ziemlich großes Ding wie schon länger nicht mehr.. da werden sich die Leute noch wundern wo überall zlib drinnen ist.

 

[Andy_m4]

Ja, mich wundert nur dass auf den FreeBSD Securitylisten bis jetzt dazu nichts zu sehen ist.

Ja. Die haben das bisher offenbar verschlafen. :-)
Mal gucken, wie es morgen früh aussieht wenn auch in Amerika der Tag durch ist.

da werden sich die Leute noch wundern wo überall zlib drinnen ist.

Wäre ja nicht das erste Mal das uns die zlib Sorgen bereitet. Irgendwie lernen aber die Leute nicht draus und copypasten die trotzdem weiter fröhlich in ihr Projekt.

 

[Yamagi]

Wäre ja nicht das erste Mal das uns die zlib Sorgen bereitet. Irgendwie lernen aber die Leute nicht draus und copypasten die trotzdem weiter fröhlich in ihr Projekt.

Dabei gibt es mit miniz eine Alternative, die explizit für das Copypasten gedacht und daher besser für sowas geeignet ist.

Nachtrag: Womit ich nicht sagen möchte, das miniz prinzipiell einen besseren Security Track hat. Auch das ist recht komplexer Code. Kann ich nicht einschätzen.

 

[midnight]

OpenBSD hat seit heute ein patch fuer zlib:

https://ftp.openbsd.org/pub/OpenBSD/patches/7.0/common/018_zlib.patch.sig

Nur zur Info.

 

[berni51]

Jetzt auch FreeBSD mit 13.0-p11.

 

[Andy_m4]

Genau. Siehe: https://www.freebsd.org/security/advisories/FreeBSD-SA-22:08.zlib.asc
Es ist auch nicht der einzige sicherheitsrelevante Bug der gefixt wurde. Mit dabei sind auch wieder mal OpenSSL, ein möglicher Jail-Escape, bhyve und dann war da auch noch was in den Disk-Controller-Treibern und WiFi. Kurzum: Ein Update lohnt sich. :-)

 

[medV2]

Endlich. Für mich hat das dennoch einen ganz ganz negativen Beigeschmack.

Die meisten Linuxe (RHEL, SUSE, Alpine, Ubuntu..) hatten den Fix am gleichen Tag, Dinger wie Openbsd oder Debian 1-2 Tage später. Bei FreeBSD musste ich ne Woche (!!) auf den Fix warten, und es war auch nichts kommuniziert darüber, dass es diese Lücke gibt und wie bzw. wann sie gefixed wird. Dieses Vorgehen sorgt bei mir nicht für Vertrauen..

 

[Andy_m4]

Die meisten Linuxe (RHEL, SUSE, Alpine, Ubuntu..) hatten den Fix am gleichen Tag, Dinger wie Openbsd oder Debian 1-2 Tage später. Bei FreeBSD musste ich ne Woche (!!) auf den Fix warten, und es war auch nichts kommuniziert darüber, dass es diese Lücke gibt und wie bzw. wann sie gefixed wird. Dieses Vorgehen sorgt bei mir nicht für Vertrauen..

Nebenan erzählst Du noch nett darüber das Du sowieso nur alle Jubeljahre mal patchst und jetzt ist ne Woche warten plötzlich ein riesen Problem. :-)

 

[medV2]

Nebenan erzählst Du noch nett darüber das Du sowieso nur alle Jubeljahre mal patchst und jetzt ist ne Woche warten plötzlich ein riesen Problem. :-)

Nein ich habe klar erzählt, dass ich Update, wenn es sein muss. In diesem Fall hat es mich konkret betroffen, da war ich natürlich auf den Patch...