Lücke in freiem Kompressionstool bzip2 geschlossen

Ein Fehler in der freien (De-)Kompressionsbibliothek libbzip2 lässt sich ausnutzen, um mit präparierten Dateien einen Integer Overflow zu provozieren. In der Folge stürzt eine darauf aufbauende Anwendung wie bzip2 ab. Unter Umständen soll sich der Fehler auch zum Einschleusen und Ausführen von Code ausnutzen lassen.

Dazu ist nicht unbedingt die Interaktion eines Anwenders erforderlich. Der freie Virenscanner ClamAV greift beispielsweise ebenfalls auf bzip2 beziehungsweise libbz2 zurück, um in gepackte Dateien schauen zu können. Auf einem Gateway prüft der Scanner automatisch alle Dateien und ist somit verwundbar. Die Entwickler von ClamAV haben deshalb Version 0.96.3 veröffentlicht, um den Fehler zu beheben.

Die bzip2-Entwickler haben in Version 1.0.6 ihres Tools den Fehler behoben, die im Quellcode zum Download bereitsteht. Diverse Linux-Distributoren liefern bereits aktualisierte Pakete aus. In der Linux-Welt ist bzip2 seit Längerem das Tool der Wahl, wenn es um schnelle und hohe Kompression geht. (dab)