Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

Artikel veröffentlicht am ,
Ein neues GCC-Feature findet Bugs beim Kompilieren.
Ein neues GCC-Feature findet Bugs beim Kompilieren. (Bild: Bj.schoenmakers/Wikimedia Commons/CC0 1.0)

Die Entwickler von OpenSSL haben ein Sicherheitsupdate veröffentlicht. Die Version 1.1.1g behebt dabei einen Fehler, der in bestimmten Situationen genutzt werden kann, um eine Software abstürzen zu lassen. Weitergehende Angriffe wie etwa eine Codeausführung sind jedoch nicht möglich.

Stellenmarkt
  1. IT Business Analyst Sales & Purchasing (m/w/d)
    nora systems GmbH, Weinheim
  2. Projektmanager Motor / Fleet (m/w/d)
    Gateway Digital Services, Stuttgart
Detailsuche

Der Fehler tritt auf, wenn eine Software die OpenSSL-Funktion zum Prüfen von Zertifikatsketten aufruft und dabei ein ungültiger Signaturalgorithmus auftaucht. Es handelt sich um einen Zugriff auf einen Null-Pointer, was in C-Code zu einem sicheren Absturz führt, aber üblicherweise nicht für weitergehende Angriffe ausgenutzt werden kann. Vor gehackten Servern muss man also in diesem Fall keine Angst haben.

GCC 10 mit Feature für statische Codeanalyse

Gefunden wurde der Bug von Bernd Edlinger mit einem neuen statischen Codeanalysewerkzeug der Gnu Compiler Collection (GCC). Ein neues Kommandozeilen-Flag für GCC namens -fanalyzer führt dazu, dass der Compiler zahlreiche Checks durchführt und nach gängigen Bug-Klassen sucht.

Entwickelt wurde dieses Feature von David Malcom von Red Hat. Malcom hat das Feature vor kurzem in einem ausführlichen Blogbeitrag erklärt. Diese Funktion wird in die bislang noch nicht veröffentlichte Version 10 von GCC einfließen. Wer sie bereits jetzt nutzen möchte, muss dafür die aktuelle Git-Version von GCC verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


wurstdings 22. Apr 2020

Genau anders herum, was zum Absturz führt wird mit sehr hoher Wahrscheinlichkeit gefixt...

37f0c33164879f3... 22. Apr 2020

Heise hat darüber berichtet und ich wurde bereits gestern privat anegschrieben Über eine...



Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Swisscom-Chef: Vermasselt habe ich nichts
    Swisscom-Chef
    "Vermasselt habe ich nichts"

    Urs Schaeppi gibt den Chefposten bei Swisscom auf. Sein Rückblick auf neun Jahre Konzernführung fällt ungewöhnlich offen aus.

  3. EV Driver Survey: Elektroautos bei IT-Experten besonders beliebt
    EV Driver Survey
    Elektroautos bei IT-Experten besonders beliebt

    Fahrerlebnis und Technik sind für Fahrer von Elektroautos der größte Zusatznutzen dieser Mobilitätsform. Fast alle würden wieder ein E-Auto kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV (2021) 77" günstig wie nie: 1.771,60€ statt 4.699€ • Grakas günstig wie nie (u. a. RTX 3080Ti 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsdeals MediaMarkt • Bosch Prof. bis 53% günstiger[Werbung]
    •  /