AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

Sicherheitslücken in zLib Implementationen

Ein Thema von Assertor · begonnen am 9. Nov 2007 · letzter Beitrag vom 10. Nov 2007
Antwort Antwort
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#1

Sicherheitslücken in zLib Implementationen

  Alt 9. Nov 2007, 11:13
Hallo Liebe DPler,

es ist mal wieder Zeit für einen Hinweis.

Viele unserer Komponenten, ob kostenfrei oder kommerziell, nutzen zLib Pascal-Implementationen. Mit oder ohne DLLs und mit oder ohne Objektcode.

Bei BDS 2006 ist z.B. unter RLT/Common die zLib.pas und zLibConst.pas dabei, laut Source in einer Version 1.0.4.

Nun gibt es hier, wie bei vielen anderen Sourcen, alte und neue Sicherheitslücken. Diese können auch Eure Delphi Programme betreffen. z.B. kommerzielle Datenbank-Komponenten, die man einsetzt. Mir liegt hier eine solche kommerzielle Datenbank-Komponente vor.

Hier die Liste, die zLib Version in einem kompilierten Programm anhand eines Patterns zu erkennen:
Security Bulletin zLib

zLib wird z.B. in Delphi-Komponenten verwendet bei:
  • den Indys
  • PNG Image bzw. PNG Delphi Components
  • Datenbank-Komponenten
  • ZIP-Packern wie z.B. KAZip

Bei den aktuellen Indys und der letzten Versionen von PNG Image ist zLib auf der aktuellen Version 1.2.3. Bei Codegear Delphi selbst, wie oben gesagt, ist die Version sehr alt und vermutlich schon verboten durchlässig. Bei KAZip liegt es ebenfalls irgendwo bei 1.1.3.

Die bekannten Lücken sind z.B. auf der zLib Seite zu finden und beim US-Cert:
http://www.kb.cert.org/vuls/id/238678
http://www.kb.cert.org/vuls/id/680620

Also, ruhig mal Eure Komponenten Sources nach dem Text "zlib" durchsuchen und gelegentlich mal aktualisieren.

Gruß winkel79
Frederik
  Mit Zitat antworten Zitat
grenzgaenger
(Gast)

n/a Beiträge
 
#2

Re: Sicherheitslücken in zLib Implementationen

  Alt 9. Nov 2007, 21:33
und was willste mit diesem artikel sagen...
  Mit Zitat antworten Zitat
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#3

Re: Sicherheitslücken in zLib Implementationen

  Alt 10. Nov 2007, 00:06
Zitat von grenzgaenger:
und was willste mit diesem artikel sagen...
Naja, wer lesen kann ist klar im Vorteil

Zitat von Assertor:
... Sicherheitslücken. Diese können auch Eure Delphi Programme betreffen.
Zitat von Assertor:
Also, ... Eure Komponenten ... aktualisieren.
Was machst Du, wenn ein Windows Update wegen einer möglichen Lücke kommt? Updaten!

Mir kommen hier einige Entwickler - was die Sicherheit angeht - immer wie Inselbewohner vor. Wenn ich nicht über eine Lücke informiert werde, gibt es sie nicht, oder was?

Kann doch nicht sein, daß Delphi 2007 noch eine zlib mit Lücken der letzten 5 Jahre hat... Und bei den Fremdkomponenten ebenso. Siehe mein SSL Tutorial und Update Thread zu OpenSSL.

Wenn Du nicht kommerziell programmierst, ok. Ignorier solche Threads. Aber wenn du komerziell entwickelst und bekannte Lücken offen läst, kommst Du in die Haftung.

Just my 2pc.

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz