Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Die Entwickler von OpenSSL haben ein Sicherheitsupdate veröffentlicht. Die Version 1.1.1g behebt dabei einen Fehler, der in bestimmten Situationen genutzt werden kann, um eine Software abstürzen zu lassen. Weitergehende Angriffe wie etwa eine Codeausführung sind jedoch nicht möglich.

Der Fehler tritt auf, wenn eine Software die OpenSSL-Funktion zum Prüfen von Zertifikatsketten aufruft und dabei ein ungültiger Signaturalgorithmus auftaucht. Es handelt sich um einen Zugriff auf einen Null-Pointer, was in C-Code zu einem sicheren Absturz führt, aber üblicherweise nicht für weitergehende Angriffe ausgenutzt werden kann. Vor gehackten Servern muss man also in diesem Fall keine Angst haben.

GCC 10 mit Feature für statische Codeanalyse

Gefunden wurde der Bug von Bernd Edlinger mit einem neuen statischen Codeanalysewerkzeug der Gnu Compiler Collection (GCC). Ein neues Kommandozeilen-Flag für GCC namens -fanalyzer führt dazu, dass der Compiler zahlreiche Checks durchführt und nach gängigen Bug-Klassen sucht.

Entwickelt wurde dieses Feature von David Malcom von Red Hat. Malcom hat das Feature vor kurzem in einem ausführlichen Blogbeitrag erklärt. Diese Funktion wird in die bislang noch nicht veröffentlichte Version 10 von GCC einfließen. Wer sie bereits jetzt nutzen möchte, muss dafür die aktuelle Git-Version von GCC verwenden.