Security, zlib

Andy_m4

Well-Known Member
Ich würde jetzt erst mal davon ausgehen, das FreeBSD betroffen ist. Das hat die zlib (wie von Dir schon angemerkt) direkt im Basis-System:
https://cgit.freebsd.org/src/tree/sys/contrib/zlib

Und zwar in der Version 1.2.11 und erst in der Version 1.2.12 ist der Fix für die Lücke drin, wie deren Homepage zu entnehmen ist:
https://zlib.net/

Allerdings kann es gut sein das dies zu updaten nicht unbedingt reicht. Einzige Programme binden die zlib nicht unbedingt brav als Shared-Library ein, sondern haben eine Kopie direkt bei sich im Quelltext. Wie z.B. die libpng:
http://ftp-osl.osuosl.org/pub/libpng/src/
Und vermutlich auch noch ein paar andere Programme die Bedarf an Kompression haben.

Insofern wird es vermutlich ohnehin größere Kreise ziehen und in naher Zukunft einige Security Advisories dazu aufploppen.

Teilweise haben die auch schon reagiert und da gibts auch schon Patches für die bei Mozilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=1761799
 

medV2

Well-Known Member
Ich würde jetzt erst mal davon ausgehen, das FreeBSD betroffen ist. Das hat die zlib (wie von Dir schon angemerkt) direkt im Basis-System:
https://cgit.freebsd.org/src/tree/sys/contrib/zlib

Und zwar in der Version 1.2.11 und erst in der Version 1.2.12 ist der Fix für die Lücke drin, wie deren Homepage zu entnehmen ist:
https://zlib.net/

Ja, mich wundert nur dass auf den FreeBSD Securitylisten bis jetzt dazu nichts zu sehen ist.
https://zlib.net/
Allerdings kann es gut sein das dies zu updaten nicht unbedingt reicht. Einzige Programme binden die zlib nicht unbedingt brav als Shared-Library ein, sondern haben eine Kopie direkt bei sich im Quelltext. Wie z.B. die libpng:
http://ftp-osl.osuosl.org/pub/libpng/src/
Und vermutlich auch noch ein paar andere Programme die Bedarf an Kompression haben.

Insofern wird es vermutlich ohnehin größere Kreise ziehen und in naher Zukunft einige Security Advisories dazu aufploppen.

Teilweise haben die auch schon reagiert und da gibts auch schon Patches für die bei Mozilla:
https://bugzilla.mozilla.org/show_bug.cgi?id=1761799

Ja, das war meine heutige Tagesbeschäftigung :) Wenns da tatsächlich halbwegs einfache Exploits gibts demnächst, wird das ein ziemlich großes Ding wie schon länger nicht mehr.. da werden sich die Leute noch wundern wo überall zlib drinnen ist.
 

Andy_m4

Well-Known Member
Ja, mich wundert nur dass auf den FreeBSD Securitylisten bis jetzt dazu nichts zu sehen ist.
Ja. Die haben das bisher offenbar verschlafen. :-)
Mal gucken, wie es morgen früh aussieht wenn auch in Amerika der Tag durch ist.

da werden sich die Leute noch wundern wo überall zlib drinnen ist.
Wäre ja nicht das erste Mal das uns die zlib Sorgen bereitet. Irgendwie lernen aber die Leute nicht draus und copypasten die trotzdem weiter fröhlich in ihr Projekt.
 

Yamagi

Possessed With Psi Powers
Teammitglied
Wäre ja nicht das erste Mal das uns die zlib Sorgen bereitet. Irgendwie lernen aber die Leute nicht draus und copypasten die trotzdem weiter fröhlich in ihr Projekt.
Dabei gibt es mit miniz eine Alternative, die explizit für das Copypasten gedacht und daher besser für sowas geeignet ist.

Nachtrag: Womit ich nicht sagen möchte, das miniz prinzipiell einen besseren Security Track hat. Auch das ist recht komplexer Code. Kann ich nicht einschätzen.
 

medV2

Well-Known Member
Endlich. Für mich hat das dennoch einen ganz ganz negativen Beigeschmack.

Die meisten Linuxe (RHEL, SUSE, Alpine, Ubuntu..) hatten den Fix am gleichen Tag, Dinger wie Openbsd oder Debian 1-2 Tage später. Bei FreeBSD musste ich ne Woche (!!) auf den Fix warten, und es war auch nichts kommuniziert darüber, dass es diese Lücke gibt und wie bzw. wann sie gefixed wird. Dieses Vorgehen sorgt bei mir nicht für Vertrauen..
 

Andy_m4

Well-Known Member
Die meisten Linuxe (RHEL, SUSE, Alpine, Ubuntu..) hatten den Fix am gleichen Tag, Dinger wie Openbsd oder Debian 1-2 Tage später. Bei FreeBSD musste ich ne Woche (!!) auf den Fix warten, und es war auch nichts kommuniziert darüber, dass es diese Lücke gibt und wie bzw. wann sie gefixed wird. Dieses Vorgehen sorgt bei mir nicht für Vertrauen..
Nebenan erzählst Du noch nett darüber das Du sowieso nur alle Jubeljahre mal patchst und jetzt ist ne Woche warten plötzlich ein riesen Problem. :-)
 
Oben