Delphi-PRAXiS

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   GUI-Design mit VCL / FireMonkey / Common Controls (https://www.delphipraxis.net/18-gui-design-mit-vcl-firemonkey-common-controls/)
-   -   Delphi Sicherheitslücken in zLib Implementationen (https://www.delphipraxis.net/103057-sicherheitsluecken-zlib-implementationen.html)

Assertor 9. Nov 2007 10:13


Sicherheitslücken in zLib Implementationen
 
Hallo Liebe DPler,

es ist mal wieder Zeit für einen Hinweis.

Viele unserer Komponenten, ob kostenfrei oder kommerziell, nutzen zLib Pascal-Implementationen. Mit oder ohne DLLs und mit oder ohne Objektcode.

Bei BDS 2006 ist z.B. unter RLT/Common die zLib.pas und zLibConst.pas dabei, laut Source in einer Version 1.0.4.

Nun gibt es hier, wie bei vielen anderen Sourcen, alte und neue Sicherheitslücken. Diese können auch Eure Delphi Programme betreffen. z.B. kommerzielle Datenbank-Komponenten, die man einsetzt. Mir liegt hier eine solche kommerzielle Datenbank-Komponente vor.

Hier die Liste, die zLib Version in einem kompilierten Programm anhand eines Patterns zu erkennen:
Security Bulletin zLib

zLib wird z.B. in Delphi-Komponenten verwendet bei:
  • den Indys
  • PNG Image bzw. PNG Delphi Components
  • Datenbank-Komponenten
  • ZIP-Packern wie z.B. KAZip

Bei den aktuellen Indys und der letzten Versionen von PNG Image ist zLib auf der aktuellen Version 1.2.3. Bei Codegear Delphi selbst, wie oben gesagt, ist die Version sehr alt und vermutlich schon verboten durchlässig. Bei KAZip liegt es ebenfalls irgendwo bei 1.1.3.

Die bekannten Lücken sind z.B. auf der zLib Seite zu finden und beim US-Cert:
http://www.kb.cert.org/vuls/id/238678
http://www.kb.cert.org/vuls/id/680620

Also, ruhig mal Eure Komponenten Sources nach dem Text "zlib" durchsuchen und gelegentlich mal aktualisieren.

Gruß winkel79

grenzgaenger 9. Nov 2007 20:33

Re: Sicherheitslücken in zLib Implementationen
 
und was willste mit diesem artikel sagen...

Assertor 9. Nov 2007 23:06

Re: Sicherheitslücken in zLib Implementationen
 
Zitat:

Zitat von grenzgaenger
und was willste mit diesem artikel sagen...

Naja, wer lesen kann ist klar im Vorteil ;)

Zitat:

Zitat von Assertor
... Sicherheitslücken. Diese können auch Eure Delphi Programme betreffen.

Zitat:

Zitat von Assertor
Also, ... Eure Komponenten ... aktualisieren.

Was machst Du, wenn ein Windows Update wegen einer möglichen Lücke kommt? Updaten!

Mir kommen hier einige Entwickler - was die Sicherheit angeht - immer wie Inselbewohner vor. Wenn ich nicht über eine Lücke informiert werde, gibt es sie nicht, oder was? :roteyes:

Kann doch nicht sein, daß Delphi 2007 noch eine zlib mit Lücken der letzten 5 Jahre hat... Und bei den Fremdkomponenten ebenso. Siehe mein SSL Tutorial und Update Thread zu OpenSSL.

Wenn Du nicht kommerziell programmierst, ok. Ignorier solche Threads. Aber wenn du komerziell entwickelst und bekannte Lücken offen läst, kommst Du in die Haftung. :warn:

Just my 2pc.

Gruß Assertor


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:54 Uhr.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz