Skip to main content

Desde hace poco tiempo salió la noticia de una vulnerabilidad en la biblioteca zlib ya catalogada bajo CVE-2018-25032 la cual causa un desbordamiento del búfer cuando se intenta comprimir una serie de caracteres especialmente preparada en los datos entrantes.

La vulnerabilidad se ha manifestado desde zlib 1.2.2.2 y afecta a la versión actual de zlib 1.2.11, se había propuesto un parche que arreglará la vulnerabilidad en 2018, pero los desarrolladores no manifestaron atención y no lanzaron una versión correctiva (la última actualización de zlib fue en 2017).

En el estado actual, los investigadores demostraron la posibilidad de llamar a una terminación anormal del proceso, por lo que aún no se ha estudiado si el problema puede tener consecuencias más graves.

Solo se puede utilizar esta vulnerabilidad usando una estrategia de compresión basada en códigos fijos de Huffman, se elige una estrategia similar cuando la opción Z_FIXED se incluye explícitamente en el código (un ejemplo de una secuencia que provoca un bloqueo al usar la opción Z_FIXED). A juzgar por el código la estrategia Z_FIXED también se puede elegir automáticamente si los árboles óptimos y estáticos calculados para los datos tienen el mismo tamaño.

También se menciona que los parámetros seleccionados bajo los cuales se identifica la vulnerabilidad al elegir la estrategia de compresión por defecto Z_DEFAULT_STRATEGY. En condiciones reales, el ataque todavía se considera improbable, ya que la explotación utilizando la secuencia revelada requiere configurar el parámetro memLevel en 1, mientras que el nivel 8 está seleccionado por defecto.