 |
 |
 |
 |
 |
|
Programmierung allgemein
GUI-Design mit VCL / FireMonkey / Common Controls
Delphi Sicherheitslücken in zLib Implementationen
Antwort
|
|
Registriert seit: 4. Feb 2006 Ort: Hamburg 1.296 Beiträge Turbo C++ |
#1
Sicherheitslücken in zLib Implementationen
9. Nov 2007, 10:13
Hallo Liebe DPler,
es ist mal wieder Zeit für einen Hinweis. Viele unserer Komponenten, ob kostenfrei oder kommerziell, nutzen  zLib Pascal-Implementationen. Mit oder ohne DLLs und mit oder ohne Objektcode.Bei BDS 2006 ist z.B. unter RLT/Common die zLib.pas und zLibConst.pas dabei, laut Source in einer Version 1.0.4. Nun gibt es hier, wie bei vielen anderen Sourcen, alte und neue Sicherheitslücken. Diese können auch Eure Delphi Programme betreffen. z.B. kommerzielle Datenbank-Komponenten, die man einsetzt. Mir liegt hier eine solche kommerzielle Datenbank-Komponente vor. Hier die Liste, die zLib Version in einem kompilierten Programm anhand eines Patterns zu erkennen: Security Bulletin zLibzLib wird z.B. in Delphi-Komponenten verwendet bei:
Bei den aktuellen Indys und der letzten Versionen von PNG Image ist zLib auf der aktuellen Version 1.2.3. Bei Codegear Delphi selbst, wie oben gesagt, ist die Version sehr alt und vermutlich schon verboten durchlässig. Bei KAZip liegt es ebenfalls irgendwo bei 1.1.3. Die bekannten Lücken sind z.B. auf der zLib Seite zu finden und beim US-Cert: http://www.kb.cert.org/vuls/id/238678http://www.kb.cert.org/vuls/id/680620Also, ruhig mal Eure Komponenten Sources nach dem Text "zlib" durchsuchen und gelegentlich mal aktualisieren. Gruß winkel79
Frederik
|
Zitat
|
|
Registriert seit: 4. Feb 2006 Ort: Hamburg 1.296 Beiträge Turbo C++ |
#3
Re: Sicherheitslücken in zLib Implementationen
9. Nov 2007, 23:06
Zitat von grenzgaenger:
und was willste mit diesem artikel sagen...
Zitat von Assertor:
... Sicherheitslücken. Diese können auch Eure Delphi Programme betreffen.
Zitat von Assertor:
Also, ... Eure Komponenten ... aktualisieren.
Mir kommen hier einige Entwickler - was die Sicherheit angeht - immer wie Inselbewohner vor. Wenn ich nicht über eine Lücke informiert werde, gibt es sie nicht, oder was?  Kann doch nicht sein, daß Delphi 2007 noch eine zlib mit Lücken der letzten 5 Jahre hat... Und bei den Fremdkomponenten ebenso. Siehe mein SSL Tutorial und Update Thread zu OpenSSL. Wenn Du nicht kommerziell programmierst, ok. Ignorier solche Threads. Aber wenn du komerziell entwickelst und bekannte Lücken offen läst, kommst Du in die Haftung.  Just my 2pc. Gruß Assertor
Frederik
|
|
Zitat
|
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Linear-Darstellung
