廣泛用於各類作業系統與應用程式的無失真資料壓縮函式庫zlib,日前被研究人員揭露資安漏洞CVE-2026-22184。該漏洞初期在風險評估尚未完整釐清時,其漏洞風險分數一度以CVSS v4.0標示為9.3分、屬於重大(Critical)風險;隨著技術細節確認,後續評估結果收斂,最新CVSS v4.0分數為4.6分、列為中度(Medium)風險。
僅影響示範工具untgz,未波及核心函式庫
資安研究人員指出,CVE-2026-22184並非發生於zlib核心壓縮函式庫,而是位於contrib目錄下的示範工具untgz。該工具在處理命令列傳入的壓縮檔名稱時,未驗證長度即寫入固定大小的全域緩衝區,可能造成記憶體毀損或服務中斷(DoS)。
觸發條件受限,本機操作才會發生
該漏洞程式碼位於untgz工具的啟動流程中,會在任何壓縮檔內容解析前處理命令列參數,因此僅能在本機執行該工具、並傳入過長檔名參數時觸發。由於不涉及網路輸入或服務端請求,該漏洞不屬於可遠端利用的攻擊情境,其實際影響取決於untgz在系統中的使用方式。
為何一度被誤認為高風險
CVE-2026-22184在初期通報時,尚未清楚區分漏洞實際位置與可被利用前提,加上zlib本身屬於高度通用的底層函式庫,使風險評估一度假設可能影響核心元件並套用遠端攻擊情境,導致CVSS分數偏高。後續釐清僅影響示範工具後,風險評估隨之收斂。
zlib專案已提出修補,發行版影響仍待盤點
zlib專案已針對CVE-2026-22184漏洞提出修補,加入長度檢查以避免越界寫入。Linux發行版方面,Red Hat與Ubuntu皆指出,實際風險取決於是否安裝或使用untgz工具,並建議透過官方更新機制套用修補。
資安專家建議,系統管理員應盤點環境中是否使用untgz工具,並持續關注zlib專案與發行版的修補進度,以降低潛在風險。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12