Der Graph zeigt die Verbindungen zwischen Fedora-Paketen.
Der Graph zeigt die Verbindungen zwischen Fedora-Paketen. (Bild: Silvio Cesare - foocodechu.com)

Bibliotheken Automatische Fehlersuche in Linux-Systemen

Der Informatiker Silvio Cesare entwickelt ein System zum Auffinden von unter Linux eingebundenen Bibliotheken. Diese werden dann automatisch nach bekannten Sicherheitslücken und Fehlern durchsucht.

Anzeige

Der australische Informatiker Silvio Cesare hat ein Werkzeug vorgestellt, das automatisch Fehler in eingebundenen Bibliotheken eines Linux-Systems aufspürt, berichtet das SC Magazine. Cesare stellte seine Implementierung und theoretischen Überlegungen auf der Sicherheitskonferenz Ruxcon 2011 in Melbourne vor und veröffentlichte seine Präsentation.

Eingebundene Bibliotheken

In der Erklärung zu seinem Projekt Clonewise schreibt Cesare, dass "Entwickler manchmal Code von anderen Projekten einbinden". Dies führe jedoch dazu, dass zwei Versionen derselben Software existierten und dementsprechend Bugfixes und Sicherheitsupdates in beide eingepflegt werden müssten.

Zwar hätten einige Linux-Distributoren Richtlinien, die eine Codeeinbindung verböten, es gebe aber auch einige Bespiele für solch eine Praxis. Cesare nennt explizit die Zlib-Bibliothek, die wegen ihrer Funktionalität und ihrer Lizenz häufig verwendet wird.

Aufspüren von Fehlern

Das manuelle Auffinden solcher eingebundener Bibliotheken ist sehr zeitaufwendig und Cesare zufolge existieren allein in Debian über 420 solcher Bibliotheken. Das von Cesare entwickelte Tool identifiziert gleichen Code anhand des Dateinamens und des Inhalts. Über Hashes, die mit ssdeep erzeugt wurden, können gleiche Pakete aufgespürt werden. Die Auswertung möglicher Verbindungen geschieht mit Hilfe der Graphen-Theorie.

Der gleichartige Code wird anschließend mit CVEs abgeglichen, um Sicherheitsprobleme aufzufinden. Dadurch fand Cesare fünf angreifbare Pakete in Debian und Fedora, die Bzip2 oder Libtiff nutzten. Auch fand Cesare heraus, dass in Firefox eine Version der Libpng-Bibliothek eingebunden war, die drei Monate lang einen bekannten Fehler enthielt.

Software noch fehlerbehaftet

Die Forschungsarbeit von Cesare befindet sich noch in einer frühen Phase. So erzeuge die Software zurzeit noch zu 90 Prozent falsche Resultate, schreibt SC-Magazine. Das Aufspüren von Überschneidungen sei so dennoch schneller, als es manuell möglich sei. Das Fedora-Projekt nutzt nun die Ergebnisse von Cesare und pflegt eine Datenbank mit den Codeüberschneidungen, Ähnliches gilt für Debian.

Cesare plant, zukünftig auch eine Binäranalyse für Windows durchführen zu können. Der Quellcode seiner Anwendung zum Finden von eingebundenem Code ist auf Github verfügbar.


Perry3D 23. Nov 2011

Ich muss gestehen, dass ich den Artikel auch nicht ganz verstanden habe. Im Gegensatz zu...

Sicaine 23. Nov 2011

Es geht nicht um Programmierfehler wo die Logik noch nicht richtig implementiert ist...

Kommentieren



Anzeige

  1. IT Projektmanager (m/w)
    TÜV SÜD Gruppe, München
  2. Manager (m/w) Licensing Adminis­tration
    ICE INTERNATIONAL COPYRIGHT ENTERPRISE, Berlin
  3. Berater/in Product Information Management (PIM) Plattform
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Sachgebietsleiter (m/w) Unix / Linux
    Brandenburgischer IT-Dienstleister, Potsdam

 

Detailsuche


Hardware-Angebote
  1. JETZT ÜBERARBEITET: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  2. Metal Gear Solid V: The Phantom Pain gratis bei PCGH-PCs mit GTX 970/980 (Ti)
  3. NEU: Turtle Beach Headsets reduziert

 

Weitere Angebote


Folgen Sie uns
       


  1. #Landesverrat

    Justizminister Maas schmeißt Generalbundesanwalt raus

  2. Piranha Bytes' Elex

    Der Held hat einen Namen

  3. Stratolaunch Carrier

    Größtes Flugzeug der Welt soll 2016 erstmals starten

  4. Android-Schwachstelle

    Stagefright-Exploits wohl bald aktiv

  5. Steam VR

    Augmented Reality für die Zukunft, Virtual Reality für jetzt

  6. Physik-Engine

    Havok FX kehrt zurück

  7. King's Quest - Episode 1 im Test

    Lang lebe der Adventure-König

  8. Android-Verbreitung

    Anteil der Lollipop-Smartphones noch unter 20 Prozent

  9. Spielentwicklung

    Echtwelt-Elemente in Spielen

  10. Tracking

    EFF präsentiert nutzerfreundlichen DNT-Standard



Haben wir etwas übersehen?

E-Mail an news@golem.de



Oneplus 2 im Hands On: Das Flagship-Killerchen
Oneplus 2 im Hands On
Das Flagship-Killerchen
  1. Oneplus-One-Nachfolger Neues Oneplus Two wird ab 340 Euro kosten
  2. Two-Smartphone Oneplus verspricht vereinfachtes Einladungssystem
  3. Smartphone Oneplus Two soll unter 450 US-Dollar kosten

Microsoft: Die Neuerungen von Windows 10
Microsoft
Die Neuerungen von Windows 10
  1. Windows 10 Microsoft gibt Enterprise-Version frei
  2. Microsoft Über 14 Millionen sind bereits auf Windows 10 gewechselt
  3. Neuer Windows Store Windows 10 erlaubt deutlich weniger Parallelinstallationen

SIOD: Wenn die Anzeige auch in der Zeitung blinkt
SIOD
Wenn die Anzeige auch in der Zeitung blinkt
  1. Electric Skin Nanoforscher entwickeln hautähnliches Farbdisplay
  2. Panasonic FZ300 Superzoom-Kamera arbeitet mit f/2,8-Objektiv und 4K-Auflösung
  3. Panasonic Lumix GX8 Systemkamera ermöglicht Scharfstellung nach der Aufnahme

  1. Re: DirectX 12

    Prypjat | 19:52

  2. Re: Kein Dual-SIM --> kein Kauf!

    Freakey | 19:52

  3. Re: Hersteller gefragt!

    Himmerlarschund... | 19:45

  4. wollen sich selbst verpflichten ...

    Moe479 | 19:39

  5. Re: Könnte auch am Distributionsweg Google...

    sebastian4699 | 19:39


  1. 18:59

  2. 18:03

  3. 17:14

  4. 17:06

  5. 15:13

  6. 14:45

  7. 14:00

  8. 13:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel