发现Linux压缩格式漏洞 达第二最危险级别上周五,安全专家报出Linux和Unix中广泛应用的一种压缩格式中存在一个很重要的漏洞,黑客可以利用此漏洞进入机器。虽然针对zlib库的补丁目前还没有,但几个Linux和BSD发行商已经推出了他们自己的解决办法。
这个bug影响zlib当前的版本,1.2.2。根据丹麦的Secunia安全公司发出的警告,黑客可以利用这个bug制造DoS (Denial-of-Service,拒绝服务)攻击,而DoS攻击利用这个库可能摧毁任何应用程序,或者允许攻击者远程种植恶意代码。Secunia公司定级zlib漏洞为“非常关键”级别,是该公司第二最严重级别。
这个漏洞是由Gentoo Linux的一位研究员在上周三发现的,他在自己公司的网站上贴出了一则警告。因为开源zlib计划不能给出任何补丁,Linux的商业卖主都已经按版本不同分别升级了自己发布的系统。Debian、FreeBSD、Gentoo、OpenBSD、RedHat和SuSE都发布了各自的补丁。
2004年的8月在zlib压缩格式中也发现了一个类似的(虽然不如这个危险)DoS漏洞,1.2.2版的补丁在10月才发布。