Abo
  • Services:
Anzeige
Der Graph zeigt die Verbindungen zwischen Fedora-Paketen.
Der Graph zeigt die Verbindungen zwischen Fedora-Paketen. (Bild: Silvio Cesare - foocodechu.com)

Bibliotheken: Automatische Fehlersuche in Linux-Systemen

Der Graph zeigt die Verbindungen zwischen Fedora-Paketen.
Der Graph zeigt die Verbindungen zwischen Fedora-Paketen. (Bild: Silvio Cesare - foocodechu.com)

Der Informatiker Silvio Cesare entwickelt ein System zum Auffinden von unter Linux eingebundenen Bibliotheken. Diese werden dann automatisch nach bekannten Sicherheitslücken und Fehlern durchsucht.

Der australische Informatiker Silvio Cesare hat ein Werkzeug vorgestellt, das automatisch Fehler in eingebundenen Bibliotheken eines Linux-Systems aufspürt, berichtet das SC Magazine. Cesare stellte seine Implementierung und theoretischen Überlegungen auf der Sicherheitskonferenz Ruxcon 2011 in Melbourne vor und veröffentlichte seine Präsentation.

Anzeige

Eingebundene Bibliotheken

In der Erklärung zu seinem Projekt Clonewise schreibt Cesare, dass "Entwickler manchmal Code von anderen Projekten einbinden". Dies führe jedoch dazu, dass zwei Versionen derselben Software existierten und dementsprechend Bugfixes und Sicherheitsupdates in beide eingepflegt werden müssten.

Zwar hätten einige Linux-Distributoren Richtlinien, die eine Codeeinbindung verböten, es gebe aber auch einige Bespiele für solch eine Praxis. Cesare nennt explizit die Zlib-Bibliothek, die wegen ihrer Funktionalität und ihrer Lizenz häufig verwendet wird.

Aufspüren von Fehlern

Das manuelle Auffinden solcher eingebundener Bibliotheken ist sehr zeitaufwendig und Cesare zufolge existieren allein in Debian über 420 solcher Bibliotheken. Das von Cesare entwickelte Tool identifiziert gleichen Code anhand des Dateinamens und des Inhalts. Über Hashes, die mit ssdeep erzeugt wurden, können gleiche Pakete aufgespürt werden. Die Auswertung möglicher Verbindungen geschieht mit Hilfe der Graphen-Theorie.

Der gleichartige Code wird anschließend mit CVEs abgeglichen, um Sicherheitsprobleme aufzufinden. Dadurch fand Cesare fünf angreifbare Pakete in Debian und Fedora, die Bzip2 oder Libtiff nutzten. Auch fand Cesare heraus, dass in Firefox eine Version der Libpng-Bibliothek eingebunden war, die drei Monate lang einen bekannten Fehler enthielt.

Software noch fehlerbehaftet

Die Forschungsarbeit von Cesare befindet sich noch in einer frühen Phase. So erzeuge die Software zurzeit noch zu 90 Prozent falsche Resultate, schreibt SC-Magazine. Das Aufspüren von Überschneidungen sei so dennoch schneller, als es manuell möglich sei. Das Fedora-Projekt nutzt nun die Ergebnisse von Cesare und pflegt eine Datenbank mit den Codeüberschneidungen, Ähnliches gilt für Debian.

Cesare plant, zukünftig auch eine Binäranalyse für Windows durchführen zu können. Der Quellcode seiner Anwendung zum Finden von eingebundenem Code ist auf Github verfügbar.


eye home zur Startseite
Perry3D 23. Nov 2011

Ich muss gestehen, dass ich den Artikel auch nicht ganz verstanden habe. Im Gegensatz zu...

Sicaine 23. Nov 2011

Es geht nicht um Programmierfehler wo die Logik noch nicht richtig implementiert ist...



Anzeige

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, München
  2. VISHAY ELECTRONIC GmbH, Selb bei Hof
  3. ADAC SE, München
  4. ORANGE Engineering, Berlin


Anzeige
Blu-ray-Angebote
  1. 18,99€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Die Goonies, John Mick, Auf der Flucht, Last Man Standing)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Raumfahrt

    Chang'e 5 fliegt zum Mond und wieder zurück

  2. Android 7.0

    Sony stoppt Nougat-Update für bestimmte Xperia-Geräte

  3. Dark Souls 3 The Ringed City

    Mit gigantischem Drachenschild ans Ende der Welt

  4. HTTPS

    Weiterhin rund 200.000 Systeme für Heartbleed anfällig

  5. Verkehrsexperten

    Smartphone-Nutzung am Steuer soll strenger geahndet werden

  6. Oracle

    Java entzieht MD5 und SHA-1 das Vertrauen

  7. Internetzensur

    China macht VPN genehmigungspflichtig

  8. Hawkeye

    ZTE will bei mediokrem Community-Smartphone nachbessern

  9. Valve

    Steam erhält Funktion, um Spiele zu verschieben

  10. Anet A6 im Test

    Wenn ein 3D-Drucker so viel wie seine Teile kostet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  2. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"
  3. US-Wahl US-Geheimdienste warnten Trump vor Erpressung durch Russland

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

  1. Re: Da brauchts keine App....

    lestard | 23.01. 23:58

  2. Re: Wie soll man dann geschäftlich nach China reisen?

    486dx4-160 | 23.01. 23:58

  3. Re: "Wir bauen mehr Glasfaser als jeder andere...

    plutoniumsulfat | 23.01. 23:54

  4. Re: Installiert Samsung ungefragt Anwendungen??

    Cok3.Zer0 | 23.01. 23:54

  5. Re: Schade, dass es keinen Kommunismus in China gibt

    Yash | 23.01. 23:36


  1. 18:19

  2. 17:28

  3. 17:07

  4. 16:55

  5. 16:49

  6. 16:15

  7. 15:52

  8. 15:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel