Anzeige
Der Graph zeigt die Verbindungen zwischen Fedora-Paketen.
Der Graph zeigt die Verbindungen zwischen Fedora-Paketen. (Bild: Silvio Cesare - foocodechu.com)

Bibliotheken Automatische Fehlersuche in Linux-Systemen

Der Informatiker Silvio Cesare entwickelt ein System zum Auffinden von unter Linux eingebundenen Bibliotheken. Diese werden dann automatisch nach bekannten Sicherheitslücken und Fehlern durchsucht.

Anzeige

Der australische Informatiker Silvio Cesare hat ein Werkzeug vorgestellt, das automatisch Fehler in eingebundenen Bibliotheken eines Linux-Systems aufspürt, berichtet das SC Magazine. Cesare stellte seine Implementierung und theoretischen Überlegungen auf der Sicherheitskonferenz Ruxcon 2011 in Melbourne vor und veröffentlichte seine Präsentation.

Eingebundene Bibliotheken

In der Erklärung zu seinem Projekt Clonewise schreibt Cesare, dass "Entwickler manchmal Code von anderen Projekten einbinden". Dies führe jedoch dazu, dass zwei Versionen derselben Software existierten und dementsprechend Bugfixes und Sicherheitsupdates in beide eingepflegt werden müssten.

Zwar hätten einige Linux-Distributoren Richtlinien, die eine Codeeinbindung verböten, es gebe aber auch einige Bespiele für solch eine Praxis. Cesare nennt explizit die Zlib-Bibliothek, die wegen ihrer Funktionalität und ihrer Lizenz häufig verwendet wird.

Aufspüren von Fehlern

Das manuelle Auffinden solcher eingebundener Bibliotheken ist sehr zeitaufwendig und Cesare zufolge existieren allein in Debian über 420 solcher Bibliotheken. Das von Cesare entwickelte Tool identifiziert gleichen Code anhand des Dateinamens und des Inhalts. Über Hashes, die mit ssdeep erzeugt wurden, können gleiche Pakete aufgespürt werden. Die Auswertung möglicher Verbindungen geschieht mit Hilfe der Graphen-Theorie.

Der gleichartige Code wird anschließend mit CVEs abgeglichen, um Sicherheitsprobleme aufzufinden. Dadurch fand Cesare fünf angreifbare Pakete in Debian und Fedora, die Bzip2 oder Libtiff nutzten. Auch fand Cesare heraus, dass in Firefox eine Version der Libpng-Bibliothek eingebunden war, die drei Monate lang einen bekannten Fehler enthielt.

Software noch fehlerbehaftet

Die Forschungsarbeit von Cesare befindet sich noch in einer frühen Phase. So erzeuge die Software zurzeit noch zu 90 Prozent falsche Resultate, schreibt SC-Magazine. Das Aufspüren von Überschneidungen sei so dennoch schneller, als es manuell möglich sei. Das Fedora-Projekt nutzt nun die Ergebnisse von Cesare und pflegt eine Datenbank mit den Codeüberschneidungen, Ähnliches gilt für Debian.

Cesare plant, zukünftig auch eine Binäranalyse für Windows durchführen zu können. Der Quellcode seiner Anwendung zum Finden von eingebundenem Code ist auf Github verfügbar.


Perry3D 23. Nov 2011

Ich muss gestehen, dass ich den Artikel auch nicht ganz verstanden habe. Im Gegensatz zu...

Sicaine 23. Nov 2011

Es geht nicht um Programmierfehler wo die Logik noch nicht richtig implementiert ist...

Kommentieren



Anzeige

  1. IT-Datenbankadministrator DevOps Solution (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt
  2. Scrum Master Application Integration (m/w)
    Media-Saturn IT-Services GmbH, Ingolstadt
  3. Business Consultant (m/w) SAP-Template Ersatzteile Wholesale
    Daimler AG, Stuttgart
  4. IT-Architekt im internationalen Umfeld
    Daimler AG, Sindelfingen

Detailsuche


Hardware-Angebote
  1. Microsoft Surface Book bestellen und bis zu 550 Euro Cashback erhalten
  2. FÜR KURZE ZEIT REDUZIERT: Kindle Paperwhite, 15 cm (6 Zoll) hochauflösendes Display (300 ppi) mit integrierter Beleuchtung, WLAN - mit Spezialang
    99,99€ statt 119,99€ (ohne Spezialangebote für 119,99€ statt 139,99€)
  3. TIPP: Western Digital 4TB Elements Desktop externe Festplatte USB3.0
    129,99€

Weitere Angebote


Folgen Sie uns
       


  1. Netgear-Router-Software

    Schwachstelle ermöglicht Dateiupload und Download

  2. Sprachanrufe

    Google führt Peer-to-Peer-Verbindungen bei Hangouts ein

  3. Galaxy View im Test

    Samsungs Riesentablet scheitert als Fernseher-Alternative

  4. Robotik

    Ein Roboter-Butler nimmt kein Trinkgeld

  5. Deepmind

    Mit neuronalem Netz durch den Irrgarten

  6. Virtual Reality

    Google soll neues Cardboard planen - ohne Pappe

  7. Maru

    Der Desktop-Modus für Android-Smartphones

  8. Respawn Entertainment

    Titanfall 2 kommt mit Kampagne und TV-Serie

  9. Autonomes Fahren

    Induktionsladung für Google-Autos geplant

  10. Verkauf

    iRobot will keine Militärroboter mehr bauen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Rise of the Tomb Raider im Technik-Test: Lara sieht einfach klasse aus
Rise of the Tomb Raider im Technik-Test
Lara sieht einfach klasse aus
  1. Rise of the Tomb Raider Update schafft Klarheit
  2. Rise of the Tomb Raider Lara im Überlebenskampf
  3. Rise of the Tomb Raider PC-Lara erscheint bereits im Januar 2016

Überblick: Den Kabelsalat um USB Typ C entwirrt
Überblick
Den Kabelsalat um USB Typ C entwirrt

Kaufberatung: Die richtige CPU und Grafikkarte
Kaufberatung
Die richtige CPU und Grafikkarte
  1. Deutsche Bahn Wlan für alle ICE-Fahrgäste möglicherweise erst 2017
  2. Helio X20 Mediatek bestreitet Hitzeprobleme des Smartphone-Chips
  3. Halbleiterfertigung Samsung zeigt SRAM-Zelle mit 10FF-Technik

  1. Re: Ein Unproblem

    Oktavian | 13:28

  2. Re: IPv6

    Lala Satalin... | 13:28

  3. Re: Google kann mich mal am Arsch!

    HanSwurst101 | 13:27

  4. Re: Nimmt das überhaupt jemand?

    ibsi | 13:27

  5. Re: 35-maliges Überschreiben nach der Gutmann-Methode

    Mavy | 13:27


  1. 12:35

  2. 12:26

  3. 12:04

  4. 11:44

  5. 11:12

  6. 11:09

  7. 10:50

  8. 10:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel