форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
Сообщение от opennews (??) on 02-Апр-16, 09:42
В Lhasa (https://fragglet.github.io/lhasa/),  открытой библиотеке с реализацией форматов сжатия LZH и LHA, выявлена (http://blog.talosintel.com/2016/03/vulnerability-lhasa.html#...) критическая уязвимость (CVE-2016-2347), позволяющая выполнить произвольный код во время обработки специально оформленных сжатых данных. Проблема вызвана отсутствим проверки на указание слишком малых значений в заголовке (integer underflow), что позволяет инициировать выделение буфера ненадлежащего размера, в который не вмещаются фактически имеющиеся данные. Проблема устранена в выпуске Lhasa 0.3.1 (https://github.com/fragglet/lhasa/releases/tag/v0.3.1) Уязвимость может проявиться в различных инструментах и программах, использующих Lhasa для работы с архивами в форматах LZH и LHA. Например, атаке подвержены различные системы фонового сканирования содержимого файловых архивов и проверки почтовых вложений, которые автоматически обрабатывают данные в редко используемых форматах. URL: http://blog.talosintel.com/2016/03/vulnerability-lhasa.html#... Новость: http://www.opennet.ru/opennews/art.shtml?num=44161
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
Сообщение от Аноним (??) on 02-Апр-16, 09:42
Перепись тех, кто не слышал, чтобы она где-то использовалась. Само название наводит на мысли о начале 90х, не знаю даже, почему.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–2 +/–
	Сообщение от Архиватор (??) on 02-Апр-16, 11:14
	Можешь и меня "переписАть"))) я LZ4 использую для сжатия образа kernel, но lzo, хвала Будде, пока не сильно уязвим), но чертовски быстр!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–1 +/–
	Сообщение от Аноним (??) on 02-Апр-16, 11:59
	Так LZ4 или LZO? И как они связаны с LZH/LZA? Ну и lzo имеет смысл только на бесконечном быстром потоке данных применять, для сжатия ядра и прочей подобной мелочи куда лучше lzma подойдёт -- там нет смысла в "бесплатном" сжатии.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+2 +/–
	Сообщение от Архиватор (??) on 02-Апр-16, 12:08
	> Так LZ4 или LZO? И как они связаны с LZH/LZA? LZ4.. никак.. но просто у комментатора выше, все что связано с lZ - это привет из 90-х.. он явно про arj не знает))) > сжатия ядра и прочей подобной мелочи куда лучше lzma подойдёт -- > там нет смысла в "бесплатном" сжатии. когда для "поиграться" за скорость загрузки системы - все средства хороши), и 0.1 sec на разархивировании в сравнении с xz - тоже + в к этой борьбе))) И по сути - жмите initrd и прочее, как вам угодно. Мне "угодно" - LZ4)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–1 +/–
	Сообщение от Аноним (??) on 02-Апр-16, 12:21
	Ясно. Ну это исключительно ваши половые проблемы, lzma так-то - это тоже привет из 90х, а основанно оно, если не ошибаюсь, на алгоритмах, придуманных за более чем 20 лет до того.  Только сжатие - не самоцель, и малоэффективные форматы отмирают. В топике же речь про именно такой "привет из прошлого", как arj -- хотя нынешний, если мне не изменяет память, и вовсе из общего с тем имеет лишь название -- формат архивов не совместим.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
	Сообщение от бедный буратино (ok) on 02-Апр-16, 16:32
	> Ясно. Ну это исключительно ваши половые проблемы, lzma так-то - это тоже > привет из 90х, а основанно оно, если не ошибаюсь, на алгоритмах, > придуманных за более чем 20 лет до того.  Только сжатие > - не самоцель, и малоэффективные форматы отмирают. В топике же речь > про именно такой "привет из прошлого", как arj -- хотя нынешний, > если мне не изменяет память, и вовсе из общего с тем > имеет лишь название -- формат архивов не совместим. с чего бы arj был несовместим? и зачем он вообще нужен, кроме совместимости :)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–1 +/–
	Сообщение от Архиватор (??) on 02-Апр-16, 18:45
	> Ясно. Ну это исключительно ваши половые проблемы, lzma так-то - это тоже > привет из 90х, а основанно оно, если не ошибаюсь, на алгоритмах, > придуманных за более чем 20 лет до того.  Только сжатие > - не самоцель, и малоэффективные форматы отмирают. В топике же речь > про именно такой "привет из прошлого", как arj -- хотя нынешний, > если мне не изменяет память, и вовсе из общего с тем > имеет лишь название -- формат архивов не совместим. Так, для самообразования))) CONFIG_HAVE_KERNEL_GZIP=y CONFIG_HAVE_KERNEL_BZIP2=y CONFIG_HAVE_KERNEL_LZMA=y CONFIG_HAVE_KERNEL_XZ=y CONFIG_HAVE_KERNEL_LZO=y CONFIG_HAVE_KERNEL_LZ4=y # CONFIG_KERNEL_GZIP is not set # CONFIG_KERNEL_BZIP2 is not set # CONFIG_KERNEL_LZMA is not set # CONFIG_KERNEL_XZ is not set # CONFIG_KERNEL_LZO is not set CONFIG_KERNEL_LZ4=y
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–1 +/–
	Сообщение от Архиватор (??) on 02-Апр-16, 18:51
	> Ясно. Ну это исключительно ваши половые проблемы, lzma так-то - это тоже В догонку: kernel офф 161Mb, самосборный 9Mb
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	12. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
	Сообщение от Аноним (??) on 02-Апр-16, 19:53
	Мм, да, молодец. Уважаю. Хотя ядро старовато и жирновато одновременно, над этим стоит поработать. Вот моё ядро, со всеми необходимыми модулями (кроме видеодрайвера, правда), вкомпиленными в него, что-то около 2мб. Я тоже крут, правда?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–2 +/–
	Сообщение от Архиватор (??) on 02-Апр-16, 21:03
	Блять, 4.5 старое? 16 Мb много?))))))) Так ты клоун)))
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+2 +/–
	Сообщение от Аноним (??) on 02-Апр-16, 21:33
	Не, чувак, все норм пацаны на рц сидят, тут ты облажался. А 16мб для ядра это сильно дохера ващет.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	18. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
	Сообщение от Аноним (??) on 05-Апр-16, 16:45
	> Не, чувак, все норм пацаны на рц сидят, тут ты облажался. А > 16мб для ядра это сильно дохера ващет. В openwrt до мегабайта обрубают. Только чтобы флешку к usb подкючить - надо сперва пакет с модулем mass storage скачать. И пакет с модулем файловой системы. Если это встроенный диск - куда ни шло, но для компьютера общего назначения это порно какое-то уже.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	14. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–1 +/–
	Сообщение от Архиватор (??) on 02-Апр-16, 21:16
	можно и ext собирать модулем))  , и можно жо 1 Mи  intrd сделать)))
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	11. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	–1 +/–
	Сообщение от Архиватор (??) on 02-Апр-16, 18:57
	> Ясно. Ну это исключительно ваши половые проблемы, lzma так-то - это тоже > привет из 90х, а основанно оно, если не ошибаюсь, на алгоритмах, и да, uname как бэ говорит - linux 4.5.0-1-desktop #1 SMP PREEMPT Wed Mar 23 11:57:08
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	17. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
	Сообщение от Аноним (??) on 05-Апр-16, 16:42
	> LZ4.. никак.. но просто у комментатора выше, все что связано с lZ > - это привет из 90-х.. он явно про arj не знает))) Lempel Ziv это привет из 1977 вообще-то. Однако идея оказалась удачной и с тех пор большинство алгоритмов сжатия основаны на этом самом. Deflate в zlib = LZ + Huffman, т.е. LZH вид в профиль. LZMA = LZ + Markov chains. Что, прогуливали информатику в школе?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+1 +/–
	Сообщение от бедный буратино (ok) on 02-Апр-16, 16:30
	я помню и lha, и ha, и анекдот ha.ha. хотя, разумеется, lha и ha никак не связаны.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	8. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+1 +/–
	Сообщение от бедный буратино (ok) on 02-Апр-16, 16:36
	> Перепись тех, кто не слышал, чтобы она где-то использовалась. Само название наводит > на мысли о начале 90х, не знаю даже, почему. а применение у всех было одно - досовские игрушки, досовские программки, файлы с bbs и файлэхи в формате .ha шла вся файлэха books, потому что лучше жалось. lha... я боюсь ошибиться, но, по-моему, MicroProse свои игрушки в этом формате распространяла (разумеется, со своим инсталлером). в общем, arj и lha встречались даже чаще, чем новомодный rar. а когда rar 1.54 стал несовместим с rar 2.00 - и подавно. хотя 99% (вне фэхи books) распространялось, конечно же, в формате zip.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	19. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
	Сообщение от Аноним (??) on 05-Апр-16, 16:49
	> в формате .ha шла вся файлэха books, потому что лучше жалось. ha не имеет никакого отношения к lzh/lha, ha использует контекстное моделирование. Жал хорошо но медленно. доисторический предок ppm-based. f lzh/lha - lz + huff, совсем другое.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	16. "Уязвимость в Lhasa, библиотеке с реализацией форматов сжатия..."	+/–
	Сообщение от Аноним (??) on 04-Апр-16, 13:21
	Придурок. Формат из 1980-х (до того как стали требовать денег за GIF и LZW), создан в Японии и до сих пор там популярен. Основной формат для KISS и непереведённых хентайных игр до эры Windows 95. А ещё его использовали в Doom и Quake.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема