日前,研究人員在Linux內核、幾個開源庫和一些三星Android移動設備中使用的流行壓縮算法中發現了一個20年之久的漏洞。發現這個漏洞的研究人員表示,這個漏洞可能會影響一些汽車和飛機系統,以及其他運行嵌入式開源軟件的消費級電子設備。
在過去幾天,我們已經看到了針對Linux內核以及各種開源媒體庫的整數溢出漏洞的修復,這個漏洞允許攻擊者通過拒絕服務攻擊和遠程代碼執行來攻擊運行所謂的Lempel-Ziv-Oberhumer(LZO)代碼的系統。LZO處理嵌入式系統中IP網絡流量和文件(通常是圖像)的壓縮和解壓縮。
發現這個漏洞同時手動審計改代碼的Lab Mouse Security公司移動和嵌入式系統安全專家Don Bailey表示:“最普遍的使用是在圖像數據中,解壓縮拍攝的圖片,以及從照相機或視頻流獲取的原始圖像。”
Bailey表示,這個漏洞最棘手的部分在于這可能影響廣泛使用該算法的消費級產品:這取決于產品使用的規格版本,以及算法是如何部署在系統中的,所有目前我們并不清楚有多少消費級產品正處于危險之中。
他表示,有幾個關鍵產品中部署了LZO,包括OpenVPN、三星Android設備、Apache Hadoop、瞻博網絡Junos Ipsec、mplayer2、gstreamer和Illumos/Solaris BSD ZFS(Iz4),但目前還不清楚這些軟件程序中的LZO部署是否容易受到攻擊。他表示:“最有可能的情況是,它們可能都會受到DoS的影響。”
是否會受到影響完全取決于該算法的部署情況,以及底層架構和應用程序的內存布局。因此,所有LZO都應該對該漏洞的風險進行評估,并且進行修復。
對于這個漏洞,讓人擔憂的是它可能給商業系統帶來潛在的危險。Bailey表示:“如果它運行在嵌入式汽車或飛機系統,它可能被用來導致軟件故障,以及導致單片機或嵌入式系統故障。根據架構的不同,該系統可能會或者可能不會發生故障。”
它還可以用來通過視聽媒體遠程執行代碼,他表示:“如果你正在觀看視頻,一個惡意視頻可能會在你的計算機執行shell,這意味著,你觀看視頻時會執行代碼。”
對于該漏洞的影響范圍還有很多未知數。美國宇航局的Mars Rover同樣在運行LZO,但Bailey表示,由于我們不知道代碼是如何部署的,我們也沒有辦法知道火星車是否會受到影響。
Rapid7公司全球安全戰略家Trey Ford表示,LZO壓縮是很普遍的。他表示:“你會發現它幾乎在所有Linux的版本中,它還可能會影響Solaris、iOS和Android.需要注意的是,一些Linux內核(操作系統的基礎)版本幾乎被用于所有物聯網設備中,無論功能是什么。”
但是由于不清楚該漏洞在不同部署中的情況,我們很難判斷這個漏洞帶來的危害。Ford表示:“這個漏洞可能會允許繞過修改過的內核部署中系統啟動加載器的簽名,或者可能通過特殊的USB驅動器在本地內核水平進行漏洞利用。如果沒有更多細節,我們很難評估該漏洞的潛在威脅。”
同時,Bailey表示:“隨著物聯網變得更加普及,我們將會看到更多這樣的漏洞。”
然而,并不是所有系統都會進行LZO修復或者未來修復。“很多較舊的項目可能不會修復,”他表示,“企業可能有很多傳統系統,并不知道它們在使用這個庫。”
這個LZO漏洞與Heartbleed有一些相似之處,但目前還沒有Heartbleed那么大的影響力。他表示:“它可能與Heartbleed一樣危險,因為它影響著廣泛的平臺,這個漏洞可能帶來內存泄露、拒絕服務攻擊和遠程代碼執行。”
Bailey已經公布了關于該LZO漏洞的技術細節信息。
下面是針對該漏洞發布的修復程序:
· 今天發布了Linux內核更新,根據該項目的開發人員表示,所有Linux發行版的補丁現在都可用
· 根據開源項目開發人員表示,Libav的CamStudio和NuppelVideo解碼器版本和使用LZO的Mastroska分路器都受到影響。Libav 0.89和10都容易受到該漏洞的影響,本周進行了修復。
· Videolan和ffmpeg媒體播放器本周都進行了修復
· Oberhumer開發的LZO專業數據壓縮庫被用在Rover、飛機、卡、手機、操作系統和游戲機中,該公司對于補丁修復以及其系統是否受到該漏洞的影響并沒有作出回應。
但是該公司已經發布了對該軟件的更新,LZO 2.07.這個更新并沒有明確它是否修復了LZO漏洞。Bailey表示,這個網站并沒有標明新版本中修復的安全問題。
Oberhumer在其網站稱:“基本上,如果你有一輛汽車、移動電話、計算機、控制臺,或者最近到醫院就診,很有可能你使用了我們的嵌入式數據壓縮技術。”
京公網安備 11010502049343號