• IT-Karriere:
  • Services:

Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

Artikel veröffentlicht am ,
Ein neues GCC-Feature findet Bugs beim Kompilieren.
Ein neues GCC-Feature findet Bugs beim Kompilieren. (Bild: Bj.schoenmakers/Wikimedia Commons/CC0 1.0)

Die Entwickler von OpenSSL haben ein Sicherheitsupdate veröffentlicht. Die Version 1.1.1g behebt dabei einen Fehler, der in bestimmten Situationen genutzt werden kann, um eine Software abstürzen zu lassen. Weitergehende Angriffe wie etwa eine Codeausführung sind jedoch nicht möglich.

Stellenmarkt
  1. MVV Energie AG, Mannheim
  2. Sagemcom Dr. Neuhaus GmbH, Rostock

Der Fehler tritt auf, wenn eine Software die OpenSSL-Funktion zum Prüfen von Zertifikatsketten aufruft und dabei ein ungültiger Signaturalgorithmus auftaucht. Es handelt sich um einen Zugriff auf einen Null-Pointer, was in C-Code zu einem sicheren Absturz führt, aber üblicherweise nicht für weitergehende Angriffe ausgenutzt werden kann. Vor gehackten Servern muss man also in diesem Fall keine Angst haben.

GCC 10 mit Feature für statische Codeanalyse

Gefunden wurde der Bug von Bernd Edlinger mit einem neuen statischen Codeanalysewerkzeug der Gnu Compiler Collection (GCC). Ein neues Kommandozeilen-Flag für GCC namens -fanalyzer führt dazu, dass der Compiler zahlreiche Checks durchführt und nach gängigen Bug-Klassen sucht.

Entwickelt wurde dieses Feature von David Malcom von Red Hat. Malcom hat das Feature vor kurzem in einem ausführlichen Blogbeitrag erklärt. Diese Funktion wird in die bislang noch nicht veröffentlichte Version 10 von GCC einfließen. Wer sie bereits jetzt nutzen möchte, muss dafür die aktuelle Git-Version von GCC verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Batman Arkham City GOTY für 4,25€, Pathfinder: Kingmaker - Explorer Edition für 14...
  2. 7,99€
  3. 24,49€
  4. 6,99€

wurstdings 22. Apr 2020

Genau anders herum, was zum Absturz führt wird mit sehr hoher Wahrscheinlichkeit gefixt...

37f0c33164879f3... 22. Apr 2020

Heise hat darüber berichtet und ich wurde bereits gestern privat anegschrieben Über eine...


Folgen Sie uns
       


Viewsonic M2 - Test

Der kleine LED-Projektor eignet sich für Präsentationen und als flexibles Kino für unterwegs.

Viewsonic M2 - Test Video aufrufen
Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Smarte Lautsprecher im Vergleichstest: Amazon hat den Besten
Smarte Lautsprecher im Vergleichstest
Amazon hat den Besten

Echo 4, Nest Audio, Echo Dot 4 oder Homepod Mini? Bei smarten Lautsprechern für maximal 100 Euro ist die Größe entscheidend.
Ein Test von Ingo Pakalski

  1. Smarter Lautsprecher Google zeigt Nest Audio für 100 Euro
  2. Harman Kardon Portabler Lautsprecher mit Google Assistant und Airplay 2
  3. Smarter Lautsprecher Google bestätigt offiziell neuen Nest-Lautsprecher

IT-Teams: Jeder möchte wichtig sein
IT-Teams
Jeder möchte wichtig sein

Teams bestehen in der IT häufig aus internen und externen, angestellten und freien Mitarbeitern. Damit alle zusammenarbeiten, müssen Führungskräfte umdenken.
Von Miriam Binner

  1. Digital-Gipfel Wirtschaft soll 10.000 zusätzliche IT-Lehrstellen schaffen
  2. Weiterbildung Was IT-Führungskräfte können sollten
  3. IT-Profis und Visualisierung Sag's in Bildern

    •  /