The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз утилиты gzip 1.12

08.04.2022 10:31

Состоялся релиз набора утилит для сжатия данных gzip 1.12. В новой версии устранена уязвимость в утилите zgrep, позволяющая при обработке специально оформленного имени файла, включающего два или более символов новой строки, перезаписать произвольные файлы в системе, насколько это позволяют текущие права доступа. Проблема проявляется начиная с версии 1.3.10, выпущенной в 2007 году.

Из других изменений отмечается прекращение установки утилиты zless на системы без утилиты less, а также обеспечение вывода при выполнении команды 'gzip -l' корректной информации о файлах, размером больше 4 ГБ (информации о размере распакованных данных теперь определяется не на основе фиксированного 32-разрядного поля из заголовка, а через распаковку с фактическим подсчётом размера данных).

Дополнение: Уязвимости назначен идентификатор CVE-2022-1271. Опубликован прототип эксплоита: 


   touch foo.gz
   echo foo | gzip > "$(printf '|\n;e cowsay pwned\n#.gz')"
   zgrep foo *.gz


  1. Главная ссылка к новости (https://www.mail-archive.com/i...)
  2. OpenNews: Вышла официальная консольная версия 7-zip для Linux
  3. OpenNews: Релиз утилиты gzip 1.10
  4. OpenNews: Разработчики bzip2 потеряли контроль над доменом bzip.org
  5. OpenNews: Уязвимость Zip Slip, затрагивающая библиотеки для распаковки архивов
  6. OpenNews: Релиз архиватора p7zip 15.09
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56986-gzip
Ключевые слова: gzip
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Жироватт (ok), 10:40, 08/04/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –2 +/
     

  • 1.3, Аноним (3), 11:29, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >через распаковку с фактическим подсчётом размера данных

    Читает файл целиком? На то, чтобы прочитать 4 гб локально, надо от 40 секунд (при отсутствии иной нагрузки). Мне интересно, чем руководствовались люди, решившие, будто 32 бит для информации о размере будет достаточно.

     
     
  • 2.6, Аноним (6), 11:51, 08/04/2022 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Возможно, смузи теперь модно не пить, а скуривать?
     
     
  • 3.17, Аноним (17), 20:55, 08/04/2022 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Ага вот так сейчас молодняк обижаем, а потом останемся без техники и программ.
     
     
  • 4.18, Аноним (-), 10:36, 09/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Да что вы понимаете в молодняке. Они ничего не могут - ни програть, ни железо делать. А как чуть обосруться - все в забугорные кусты сваливают.
     
     
  • 5.23, Аноним (-), 01:11, 10/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Небольшой нюанс: в забугорных кустах просто так за красивые глаза бабки не платят, так что если они ничего не умеют - как же они тогда живут?
     
     
  • 6.25, Michael Shigorin (ok), 21:45, 14/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Небольшой нюанс: в забугорных кустах просто так за красивые глаза бабки не
    > платят, так что если они ничего не умеют - как же они тогда живут?

    То-то в ukr.nodes ещё совсем в нулевых поминали незлым тихим словом "лоеров и хеллохаваюверов".

     
  • 3.21, Аноним (-), 01:06, 10/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Возможно, смузи теперь модно не пить, а скуривать?

    Самую актуальную версию - скорее нюхать.

     
  • 3.24, Аноним (24), 03:36, 11/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    А суть есть что сказать? 640Кб^W32 бита хватит всем, да?
     
  • 2.9, X86 (ok), 12:38, 08/04/2022 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    1. 32 бит хватит всем
    2. Файлов, больше 4Гб не бывает)
     
     
  • 3.13, Аноним (13), 13:55, 08/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Но, ведь, были времена когда этого кзалось много, потом достаточно.
     

  • 1.4, Анонн (?), 11:42, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Жесть какая... Не смогли обработать два \n подряд...
     
     
  • 2.5, Аноним (5), 11:50, 08/04/2022 [^] [^^] [^^^] [ответить]  
    		• +11 +/
    Шел сишник по \n. Видит - еще один \n. Взял и перезаписал произвольные файлы в системе.
     
     
  • 3.22, Аноним (-), 01:08, 10/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Шел сишник по \n. Видит - еще один \n. Взял и перезаписал
    > произвольные файлы в системе.

    Ващет по дефолту сишники на \n могут покласть. Однако шелл и его скриптота имеют свое мнение о \n...

     

  • 1.7, Аноним (-), 12:08, 08/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Отличный сжимальщик. Только Проект ГНУ может создать такой шедевр.
     
     
  • 2.14, Аноним (3), 14:16, 08/04/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Но-но, libarchive куда шедевральнее. А ещё та гадит в файлы лишними бесполезными полями, вот уж где днина так днина.
     

  • 1.20, pavlinux (ok), 21:13, 09/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    UNZIP.ZIP :)))

    https://ftp.gnu.org/gnu/gzip/gzip-1.12.tar.gz

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру