Найдена опасная уязвимость в алгоритмах распаковки LZO и LZ4
В алгоритмах распаковки LZO и LZ4 найдена очень опасная уязвимость (CVE-2014–4607), которая существует более 20 лет. Эта уязвимость может повредить определенные области памяти при распаковке специально созданных сжатых данных. Проблема существует из-за целочисленного переполнения, которые возникают при при распаковке блоков нулевых байтов свыше 16Мб. В данное время существует возможность применения уязвимости в LZO для совершения DoS-атак и выполнения определенного вредноносного кода.Алгоритмы LZO и LZ4 широко используются в программном обеспечении: от ядра Linux до различных встраиваемых решений. Уязвимость подвержены все пакеты lzo1, lz4 и liblzo2 в в дистрибутивах GNU/Linux и иные реализации lzo и lz4, использующиеся в других продуктах.
linux, lz4, lzo
