Open source-sårbarhed omsider lappet efter 20 år

En sårbarhed i en meget udbredt kompressions-teknologi er blevet rettet hele 20 år efter, at koden blev skrevet.

Annonce:
Annonce:
Efter 20 år er en sårbarhed i kompressions-algoritmen Lempel-Ziv-Oberhumer (LZO) omsider blevet lappet.

Det har taget så længe at få hullet lukket, fordi koden har flydt rundt i udvikler-miljøet, hvor den er blevet genbrugt igen og igen.

Det betyder, at sårbarheden i årevis har været særdeles udbredt i eksempelvis massevis af open source-libraries, Android-telefoner, Samsung-telefoner og en række andre enheder.

Den anvendes i eksempelvis det amerikanske rumfarts-agentur Nasas Mars-robot, OpenVPN, Mplayer2, FFmpeg og Linux-kernen, mens varianten LZ4 anvendes til kompression i Solaris' ZFS, Apaches Hadoop samt FreeBSD.

Kompressions-algoritme
LZO-algoritmen blev skrevet i 1994 af Markus Oberhumer. Det er en kompressions-algoritme, der sætter skub i hastigheden i en række funktioner.

Algoritmen er mest anvendt i applikationer til video-transmissioner eller lignende, hvor der er behov for at sende store billed-filer.

Sårbarheden er blevet opdaget af sikkerhedsmanden Don Bailey efter en manuel gennemgang af hele koden.

"På grund af den stigende popularit er LZO blevet omskrevet af masser af udvikler-firmaer med henblik på både lukkede og åbne systemer. Disse omskrivninger har imidlertid altid været baseret på Oberhumers open source-implementering. Det betyder, at de alle har arvet sårbarheden," skriver Don Baily i en blog-post.

Her skriver han også, at stort set det samme hul i koden er blevet overført til LZ4.

Ifølge Don Bailey gør sårbarheden, at koden er åben, når der afvikles en Literal Run.

"Ved at angribe denne funktionalitet kan en hacker få adgang til data, der kan udnyttes til at overtage kontrollen over applikationer. Det giver potentielt mulighed for at kompromitere systemet," lyder det fra Don Bailey.

Hackere kan eksempelvis få adgang via skannere og lignende.

Langt de fleste af de ramte open source-distributioner, der anvender LZO og LZ4 er opmærksom på sårbarheden og er i fuld gang med at implementere rettelser. Du kan læse om deres patches her.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få succes med sourcing

Sourcing er en af de vigtigste strategiske discipliner i moderne it-drift. Uanset om du overvejer at in- eller outsource og hvad enten det er globalt eller lokalt, så kræver det viden og styr på aftaler og kontrakter. Læs mere

Whilborgs Konferencecenter - 2750 Ballerup



Datasikkerhed

Aldrig tidligere har det været mere afgørende, at vores it-systemer og data er sikre, for aldrig tidligere har vi været så afhængige af data. Og aldrig tidligere har vores data og systemer været så udsatte med så mange indgangsveje og muligheder for at blive ramt: Cloud, mobilbrug, BYOD samt virksomhedernes ofte meget fragmenterede it-infrastruktur med mange forskellige applikationer på kryds og tværs har givet mange nye kanaler ind til virksomhedernes netværk og systemer. Læs mere

Comwell Hotel Aarhus - 8000 Aarhus



Skygge-it

Mange it-afdelinger kæmper for at håndtere det kontrol-tab, der følger med, når medarbejdere og afdelinger begynder at anskaffe egne it-løsninger, som ikke nødvendigvis er koordineret eller godkendt af it-afdelingen. På dette How To seminar får du overblik over værktøjer og metoder til at håndtere skygge-it, så du genvinder kontrollen og minimerer it-sikkerheds-risikoen. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup







Computerworld
For få år siden var IP-telefoni det mest hotte: Nu smutter kunderne igen
Leverandørerne af IP-telefoni oplevede først et sandt boom af kunder, mens tele-teknologien var på alles læber. Nu forsvinder kunderne igen.
CIO
Ny CIO til Pandora - henter top-CIO fra GN Store Nord
Smykkegiganten Pandora henter ny CIO fra GN Store Nord. Han skal stå i spidsen for at opbygge en global it-organisation.
Channelworld
Ny storfusion i hosting-branchen skal løfte kvaliteten for små og mellemstore it-kunder
Den nordiske kapitalfond Adelis sætter sig for bordenden i ny it-koncern, som samler tre af de stærkeste outsourcing-firmaer på markedet.
White paper
multikanals kundeservice - Sådan !
Sådan kan der udvikles en effektiv, multikanals kundeservice - Læs i dette white paper hvordan.