近日,安全專家報出Linux和Unix中廣泛應用的一種壓縮格式中存在一個很重要的漏洞,黑客可以利用此漏洞進入機器。雖然針對zlib庫的補丁目前還沒有,但幾個Linux和BSD發行商已經推出了他們自己的解決辦法。
這個bug影響zlib當前的版本,1.2.2。根據丹麥的Secunia安全公司發出的警告,黑客可以利用這個bug制造DoS (Denial-of-Service,拒絕服務)攻擊,而DoS攻擊利用這個庫可能摧毀任何應用程序,或者允許攻擊者遠程種植惡意代碼。Secunia公司定級zlib漏洞為“非常關鍵”級別,是該公司第二最嚴重級別。
這個漏洞是由Gentoo Linux的一位研究員在上周三發現的,他在自己公司的網站上貼出了一則警告。因為開源zlib計劃不能給出任何補丁,Linux的商業賣主都已經按版本不同分別升級了自己發布的系統。Debian、FreeBSD、Gentoo、OpenBSD、RedHat和SuSE都發布了各自的補丁。
2004年的8月在zlib壓縮格式中也發現了一個類似的(雖然不如這個危險)DoS漏洞,1.2.2版的補丁在10月才發布。