速修復！這個嚴重的Zlib內存損壞漏洞已存在17年！

　　聚焦源代碼安全，網羅國內外最新資訊！

　　作者：Jessica Lyons Hardcastle

　　編譯：代碼衛士團隊

　　專欄·供應鏈安全

　　數字化時代，軟件無處不在。軟件如同社會中的“虛擬人”，已經成為支撐社會正常運轉的最基本元素之一，軟件的安全性問題也正在成為當今社會的根本性、基礎性問題。

　　隨著軟件產業的快速發展，軟件供應鏈也越發復雜多元，復雜的軟件供應鏈會引入一系列的安全問題，導致信息系統的整體安全防護難度越來越大。近年來，針對軟件供應鏈的安全攻擊事件一直呈快速增長態勢，造成的危害也越來越嚴重。

　　為此，我們推出“供應鏈安全”欄目。本欄目匯聚供應鏈安全資訊，分析供應鏈安全風險，提供緩解建議，為供應鏈安全保駕護航。

　　注：以往發布的部分供應鏈安全相關內容，請見文末“推薦閱讀”部分。

　　使用廣泛的 Zlib 數據壓縮庫中存在一個漏洞（CVE-2018-25032），可被用于使應用和服務崩潰。4年前，該漏洞被首次發現但并未被修復，而當時該漏洞已經存在13年，因此17年來該漏洞一直存在且一直在等待潛在exploit。

　　谷歌Project Zero 團隊研究員 Tavis Ormandy 在開源軟件安全郵件列表中對CVE-2018-25032發出警報，他在定位壓縮工具崩潰時發現了該漏洞。他指出，“我向上游報告，但結果發現該漏洞早在2018年就已經存在但一直沒有發布補丁。就我所知，沒有人為此分配CVE編號。”

　　而且，當2018年4月Eideticom 公司的研究員 Danilo Ramos 報道該漏洞時，它已存在13年之久，意味著17年來該漏洞一直存在且一直在等待潛在exploit。阜陽數據恢復

　　修復方案從未進入 Zlib 軟件更新。本月報告該漏洞幾天后，Ormandy 展示了針對該庫支持的默認和非默認壓縮策略的PoC exploit。這意味著在嘗試解壓時，通過惡意構造的壓縮數據的應用程序或網絡服務可能會崩潰。

　　簡言之，它是一個內存損壞缺陷：如果用戶提供的數據是特殊構造的，那么通過界外寫，依賴于zlib 壓縮這類數據的軟件可崩潰終止。比如，根據受用戶控制數據使用方式的不同，某些備份運營和日志記錄可能會異常停止。該漏洞的CVSS 評分為7.5，屬于高危級別。

　　時間久，使用廣

　　該漏洞之所以嚴重，不僅因為它已存在將近20年的時間，而且因為開源的 Zlib 使用廣泛，即存在很多潛在的利用機會。Zlib 的算法 DEFLATE 在1996年就已成為互聯網標準，出現在很多文件格式和協議中，用于壓縮和擴展數據，而處理這些輸入的軟件將很可能使用zlib。Sophos 公司指出，很多項目都在使用Zlib，如 Firefox、Edge、Chromium 和 Tor，PDF 閱讀器Xpdf，媒體播放器 VLC，Word 和 Excel 可兼容軟件 LibreOffice，以及圖像編輯器 GIMP等。

　　Sophos 解釋稱，“平常使用的很多app 中將包括代碼，不僅是為了在讀取代碼時解壓 Zlib 數據，還為了在保持或發送數據時壓縮成Zlib 格式，因為DEFLATE 就像是壓縮數據的通用語。”

　　就像在1998年報告的那樣，該Zlib 漏洞可導致待處理緩沖區中的數據覆寫距離符號表，從而導致界外訪問，使應用程序崩潰并可能引發拒絕服務。Orca Security 公司的研究員 Tohar Braun 提醒稱，雖然該漏洞可導致拒絕服務攻擊，“目前，雖然該漏洞似乎無法導致遠程代碼執行，但隨著分析師開始調查該漏洞，也有可能導致遠程代碼執行。”

　　補丁已發布

　　該漏洞補丁已發布在 Github上，安全分析師建議更新至 Zlib 版本1.2.12。Linux 發行版本 Ubuntu 和 Alpine 等已經在最新發布中實現了該修復方案。用戶應當從操作系統廠商的最新更新中，安裝不易受影響的 zlib 共享庫；開發人員應當確保軟件包不依賴于易受攻擊的依賴版本，盡快推出應用或服務更新。

　　代碼衛士試用地址：https://codesafe.qianxin.com/開源衛士試用地址：https://oss.qianxin.com

　　推薦閱讀在線閱讀版：《2021中國軟件供應鏈安全分析報告》全文攻擊者“完全自動化”發動NPM供應鏈攻擊

　　Pwn2Own大賽回顧：利用開源服務中的嚴重漏洞，攻陷西部數據My Cloud PR4100

　　Node-ipc 熱門包作者投毒“社死‘’，誰來保護開源軟件供應鏈安全？

　　因供應商遭不明網絡攻擊，豐田汽車宣布停產

　　Linux Netfilter 防火墻模塊爆新漏洞，攻擊者可獲取root權限

　　豐田汽車頂級供應商 Denso 疑遭勒索攻擊，被威脅泄露商業機密

　　漏洞Dirty COW：影響Linux系統以及安卓設備

　　第三方支付處理廠商軟件有漏洞，日本美容零售商Acro 10萬支付卡信息遭攻擊

　　Linux 內核 cgroups 新漏洞可導致攻擊者逃逸容器

　　谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞獎勵加倍

　　Apache Cassandra 開源數據庫軟件修復高危RCE漏洞2021年軟件供應鏈攻擊數量激增300%+熱門開源CMS平臺 Umbraco 中存在多個安全漏洞，可使賬戶遭接管詳細分析開源軟件項目 Ajax.NET Professional 中的RCE 漏洞（CVE-2021-23758）SAP 嚴重漏洞可導致供應鏈攻擊Apache PLC4X開發者向企業下最后通牒：如不提供資助將停止支持Apache 軟件基金會：頂級項目仍使用老舊軟件，補丁作用被削弱美國商務部發布軟件物料清單 (SBOM) 的最小元素（上）美國商務部發布軟件物料清單 (SBOM) 的最小元素（中）美國商務部發布軟件物料清單 (SBOM) 的最小元素（下）NIST 發布關于使用“行政令-關鍵軟件”的安全措施指南NIST 按行政令關于加強軟件供應鏈安全的要求，給出“關鍵軟件”的定義及所含11類軟件SolarWinds 攻擊者再次發動供應鏈攻擊美國“加強軟件供應鏈安全實踐的指南” (SSDF V1.1草案) 解讀來了軟件供應鏈安全現狀分析與對策建議“木馬源”攻擊影響多數編程語言的編譯器，將在軟件供應鏈攻擊中發揮巨大作用GitHub 在 “tar” 和 npm CLI 中發現7個高危的代碼執行漏洞流行的 NPM 包依賴關系中存在遠程代碼執行缺陷速修復！熱門npm 庫 netmask 被曝嚴重的軟件供應鏈漏洞，已存在9年Npm 惡意包試圖竊取 Discord 敏感信息和瀏覽器文件微軟“照片”應用Raw 格式圖像編碼器漏洞 (CVE-2021-24091)的技術分析SolarWinds 供應鏈事件后，美國考慮實施軟件安全評級和標準機制找到軟件供應鏈的薄弱鏈條GitHub談軟件供應鏈安全及其重要性揭秘新的供應鏈攻擊：一研究員靠它成功入侵微軟、蘋果等 35 家科技公司開源軟件漏洞安全風險分析開源OS FreeBSD 中 ftpd chroot 本地提權漏洞 (CVE-2020-7468) 的技術分析集結30+漏洞 exploit，Gitpaste-12 蠕蟲影響 Linux 和開源組件等限時贈書|《軟件供應鏈安全—源代碼缺陷實例剖析》新書上市熱門開源CI/CD解決方案 GoCD 中曝極嚴重漏洞，可被用于接管服務器并執行任意代碼GitKraken漏洞可用于盜取源代碼，四大代碼托管平臺撤銷SSH密鑰因服務器配置不當，熱門直播平臺 Twitch 的125GB 數據和源代碼被泄露彪馬PUMA源代碼被盜，稱客戶數據不受影響

　　原文鏈接

　　https://www.theregister.com/2022/03/30/zlib_data_bug/

　　題圖：Pixabay License

　　本文由奇安信編譯，不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 https://codesafe.qianxin.com”。

　　奇安信代碼衛士 (codesafe)

　　國內首個專注于軟件開發安全的產品線。