Open source-sårbarhed omsider lappet efter 20 år

En sårbarhed i en meget udbredt kompressions-teknologi er blevet rettet hele 20 år efter, at koden blev skrevet.

Efter 20 år er en sårbarhed i kompressions-algoritmen Lempel-Ziv-Oberhumer (LZO) omsider blevet lappet.

Det har taget så længe at få hullet lukket, fordi koden har flydt rundt i udvikler-miljøet, hvor den er blevet genbrugt igen og igen.

Det betyder, at sårbarheden i årevis har været særdeles udbredt i eksempelvis massevis af open source-libraries, Android-telefoner, Samsung-telefoner og en række andre enheder.

Den anvendes i eksempelvis det amerikanske rumfarts-agentur Nasas Mars-robot, OpenVPN, Mplayer2, FFmpeg og Linux-kernen, mens varianten LZ4 anvendes til kompression i Solaris' ZFS, Apaches Hadoop samt FreeBSD.

Kompressions-algoritme
LZO-algoritmen blev skrevet i 1994 af Markus Oberhumer. Det er en kompressions-algoritme, der sætter skub i hastigheden i en række funktioner.

Algoritmen er mest anvendt i applikationer til video-transmissioner eller lignende, hvor der er behov for at sende store billed-filer.

Sårbarheden er blevet opdaget af sikkerhedsmanden Don Bailey efter en manuel gennemgang af hele koden.

"På grund af den stigende popularit er LZO blevet omskrevet af masser af udvikler-firmaer med henblik på både lukkede og åbne systemer. Disse omskrivninger har imidlertid altid været baseret på Oberhumers open source-implementering. Det betyder, at de alle har arvet sårbarheden," skriver Don Baily i en blog-post.

Her skriver han også, at stort set det samme hul i koden er blevet overført til LZ4.

Ifølge Don Bailey gør sårbarheden, at koden er åben, når der afvikles en Literal Run.

"Ved at angribe denne funktionalitet kan en hacker få adgang til data, der kan udnyttes til at overtage kontrollen over applikationer. Det giver potentielt mulighed for at kompromitere systemet," lyder det fra Don Bailey.

Hackere kan eksempelvis få adgang via skannere og lignende.

Langt de fleste af de ramte open source-distributioner, der anvender LZO og LZ4 er opmærksom på sårbarheden og er i fuld gang med at implementere rettelser. Du kan læse om deres patches her.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Kompetera A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få succes med sourcing

Sourcing er en af de vigtigste strategiske discipliner i moderne it-drift. Uanset om du overvejer at in- eller outsource og hvad enten det er globalt eller lokalt, så kræver det viden og styr på aftaler og kontrakter. Læs mere



Datasikkerhed

Aldrig tidligere har det været mere afgørende, at vores it-systemer og data er sikre, for aldrig tidligere har vi været så afhængige af data. Og aldrig tidligere har vores data og systemer været så udsatte med så mange indgangsveje og muligheder for at blive ramt: Cloud, mobilbrug, BYOD samt virksomhedernes ofte meget fragmenterede it-infrastruktur med mange forskellige applikationer på kryds og tværs har givet mange nye kanaler ind til virksomhedernes netværk og systemer. Læs mere



Tips og tricks med Excel - Gratis inspirationsseminar

Kom til et spændende inspirationsseminar, der giver dig indsigt i hvordan Excel også kan benyttes til opgaver, som du måske ikke i dag bruger programmet til. Læs mere







Computerworld
Kritikken tager til: Windows 10 fryser og hakker efter stor opdatering
Microsofts store Windows 10-opdatering skaber alvorlige problemer på en række maskiner, der fryser og hakker. Kritikken fra brugerne tager til.
CIO
Måske den vigtigste person i it-afdelingen netop nu: Derfor er enterprise arkitekten i så høj kurs
Enterprise-arkitekterne er helt afgørende for mange virksomheder netop i disse tider, hvor digital transformation er et nøgleord.
Channelworld
Dansk hosting-direktør: På disse tre områder banker danske hosting-firmaer Microsoft og Amazon af banen
Den danske hostingbranche er godt polstret til at modstå konkurrencen fra globale cloud-spillere som Amazon og Microsoft. Her er tre grunde til, at danske hostingudbydere ikke blæser omkuld i konkurrencen.
White paper
Intelligente forretningsprocesser
Læs her om de centrale egenskaber ved intelligente forretningsprocesser, deres fordele og hvordan du hæver dine egne forretningsprocessers IQ.