В алгоритмах распаковки LZO и LZ4 найдена очень опасная уязвимость (CVE-2014-4607), которая существует более 20 лет. Эта уязвимость может повредить определенные области памяти при распаковке специально созданных сжатых данных. Проблема существует из-за целочисленного переполнения,которые возникают при при распаковке блоков нулевых байтов свыше 16Мб.
В данное время существует возможность применения уязвимости в LZO для совершения DoS-атак и выполнения определенного вредноносного кода.
Алгоритмы LZO и LZ4 широко используются в программном обеспечении: от ядра Linux до различных встраиваемых решений.
Уязвимость подвержены все пакеты lzo1, lz4 и liblzo2 в в дистрибутивах GNU/Linux и иные реализации lzo и lz4, использующиеся в других продуктах.
>>> Подробности
