Open source-sårbarhed omsider lappet efter 20 år

En sårbarhed i en meget udbredt kompressions-teknologi er blevet rettet hele 20 år efter, at koden blev skrevet.

Efter 20 år er en sårbarhed i kompressions-algoritmen Lempel-Ziv-Oberhumer (LZO) omsider blevet lappet.

Det har taget så længe at få hullet lukket, fordi koden har flydt rundt i udvikler-miljøet, hvor den er blevet genbrugt igen og igen.

Det betyder, at sårbarheden i årevis har været særdeles udbredt i eksempelvis massevis af open source-libraries, Android-telefoner, Samsung-telefoner og en række andre enheder.

Den anvendes i eksempelvis det amerikanske rumfarts-agentur Nasas Mars-robot, OpenVPN, Mplayer2, FFmpeg og Linux-kernen, mens varianten LZ4 anvendes til kompression i Solaris' ZFS, Apaches Hadoop samt FreeBSD.

Kompressions-algoritme
LZO-algoritmen blev skrevet i 1994 af Markus Oberhumer. Det er en kompressions-algoritme, der sætter skub i hastigheden i en række funktioner.

Algoritmen er mest anvendt i applikationer til video-transmissioner eller lignende, hvor der er behov for at sende store billed-filer.

Sårbarheden er blevet opdaget af sikkerhedsmanden Don Bailey efter en manuel gennemgang af hele koden.

"På grund af den stigende popularit er LZO blevet omskrevet af masser af udvikler-firmaer med henblik på både lukkede og åbne systemer. Disse omskrivninger har imidlertid altid været baseret på Oberhumers open source-implementering. Det betyder, at de alle har arvet sårbarheden," skriver Don Baily i en blog-post.

Her skriver han også, at stort set det samme hul i koden er blevet overført til LZ4.

Ifølge Don Bailey gør sårbarheden, at koden er åben, når der afvikles en Literal Run.

"Ved at angribe denne funktionalitet kan en hacker få adgang til data, der kan udnyttes til at overtage kontrollen over applikationer. Det giver potentielt mulighed for at kompromitere systemet," lyder det fra Don Bailey.

Hackere kan eksempelvis få adgang via skannere og lignende.

Langt de fleste af de ramte open source-distributioner, der anvender LZO og LZ4 er opmærksom på sårbarheden og er i fuld gang med at implementere rettelser. Du kan læse om deres patches her.




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Kompetera A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Microsofts løsninger: Mod den store digitale transformation

Vi er for fuld fart i gang med den store digitale transformation, der med smarte it-systemer kommer til at ændre en meget stor del af vores processer, produktion og måde at arbejde på. På denne konference vil du kunne høre om de seneste bud på it-systemer, der i Microsoft-universet understøtter kursen mod den digitale transformation og smart it-udnyttelse.

28. februar 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

01. marts 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

08. marts 2017 | Læs mere





mest debaterede artikler

CIO
Sikkerhedsfolk: Sådan vil ransomware-plagen udvikle sig (det bliver meget værre)
Vi har kun set begyndelsen på ransomware-plagen, vurderer sikkerhedsfolk. Næste fase kan blive total nedlukning af hele fabrikker, anlæg og organisationer. Og hvad gør vi så?
Comon
Sådan installerer du Googles bil-system, Android Auto, på din smartphone
Android Auto har indtil nu krævet en bil med indbygget computer med touchskærm for at kunne fungere. Nu kan du installere systemet på din Android-telefon og benytte den som bil-computer og navigations-system. Se her, hvordan du gør.
Channelworld
Tidligere Atea-boss Claus Hougesen er færdig som direktør i 3A-it: Her er årsagen
Claus Hougesen er stoppet som administrerende direktør for 3A-it og har i stedet overladt posten til Preben Jensen, der ligeledes har en fortid hos Atea.
White paper
Professionel managed service holder langt flere kunder i luften på én gang
Sådan forudser du problemerne, og leverer en bedre service Dette white paper er skrevet af Computerworld for AVG