Thema: Delphi Sicherheitslücken in zLib Implementationen

Einzelnen Beitrag anzeigen

Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#1

Sicherheitslücken in zLib Implementationen

  Alt 9. Nov 2007, 10:13
Hallo Liebe DPler,

es ist mal wieder Zeit für einen Hinweis.

Viele unserer Komponenten, ob kostenfrei oder kommerziell, nutzen zLib Pascal-Implementationen. Mit oder ohne DLLs und mit oder ohne Objektcode.

Bei BDS 2006 ist z.B. unter RLT/Common die zLib.pas und zLibConst.pas dabei, laut Source in einer Version 1.0.4.

Nun gibt es hier, wie bei vielen anderen Sourcen, alte und neue Sicherheitslücken. Diese können auch Eure Delphi Programme betreffen. z.B. kommerzielle Datenbank-Komponenten, die man einsetzt. Mir liegt hier eine solche kommerzielle Datenbank-Komponente vor.

Hier die Liste, die zLib Version in einem kompilierten Programm anhand eines Patterns zu erkennen:
Security Bulletin zLib

zLib wird z.B. in Delphi-Komponenten verwendet bei:
  • den Indys
  • PNG Image bzw. PNG Delphi Components
  • Datenbank-Komponenten
  • ZIP-Packern wie z.B. KAZip

Bei den aktuellen Indys und der letzten Versionen von PNG Image ist zLib auf der aktuellen Version 1.2.3. Bei Codegear Delphi selbst, wie oben gesagt, ist die Version sehr alt und vermutlich schon verboten durchlässig. Bei KAZip liegt es ebenfalls irgendwo bei 1.1.3.

Die bekannten Lücken sind z.B. auf der zLib Seite zu finden und beim US-Cert:
http://www.kb.cert.org/vuls/id/238678
http://www.kb.cert.org/vuls/id/680620

Also, ruhig mal Eure Komponenten Sources nach dem Text "zlib" durchsuchen und gelegentlich mal aktualisieren.

Gruß winkel79
Frederik
  Mit Zitat antworten Zitat