Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

Artikel veröffentlicht am ,
Ein neues GCC-Feature findet Bugs beim Kompilieren.
Ein neues GCC-Feature findet Bugs beim Kompilieren. (Bild: Bj.schoenmakers/Wikimedia Commons/CC0 1.0)

Die Entwickler von OpenSSL haben ein Sicherheitsupdate veröffentlicht. Die Version 1.1.1g behebt dabei einen Fehler, der in bestimmten Situationen genutzt werden kann, um eine Software abstürzen zu lassen. Weitergehende Angriffe wie etwa eine Codeausführung sind jedoch nicht möglich.

Stellenmarkt
  1. Statistiker / Mathematiker / Biometriker (m/w/d)
    MDK Baden-Württemberg Medizinischer Dienst der Krankenversicherung, Stuttgart
  2. IT Security Officer (m/w/d)
    HABA Group B.V. & Co. KG, Bad Rodach bei Coburg, Berlin
Detailsuche

Der Fehler tritt auf, wenn eine Software die OpenSSL-Funktion zum Prüfen von Zertifikatsketten aufruft und dabei ein ungültiger Signaturalgorithmus auftaucht. Es handelt sich um einen Zugriff auf einen Null-Pointer, was in C-Code zu einem sicheren Absturz führt, aber üblicherweise nicht für weitergehende Angriffe ausgenutzt werden kann. Vor gehackten Servern muss man also in diesem Fall keine Angst haben.

GCC 10 mit Feature für statische Codeanalyse

Gefunden wurde der Bug von Bernd Edlinger mit einem neuen statischen Codeanalysewerkzeug der Gnu Compiler Collection (GCC). Ein neues Kommandozeilen-Flag für GCC namens -fanalyzer führt dazu, dass der Compiler zahlreiche Checks durchführt und nach gängigen Bug-Klassen sucht.

Entwickelt wurde dieses Feature von David Malcom von Red Hat. Malcom hat das Feature vor kurzem in einem ausführlichen Blogbeitrag erklärt. Diese Funktion wird in die bislang noch nicht veröffentlichte Version 10 von GCC einfließen. Wer sie bereits jetzt nutzen möchte, muss dafür die aktuelle Git-Version von GCC verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hubble
Uralttechnik ohne Ersatz versagt im Orbit

Das Hubble-Teleskop ist außer Betrieb. Die Speicherbänke aus den 1980er Jahren lassen sich nicht mit der CPU von 1974 ansprechen, die auf einer Platine zusammengelötet wurde.
Von Frank Wunderlich-Pfeiffer

Hubble: Uralttechnik ohne Ersatz versagt im Orbit
Artikel
  1. Batteriezellfabrik: Porsche will Hochleistungsakkus mit Silizium-Anoden bauen
    Batteriezellfabrik
    Porsche will Hochleistungsakkus mit Silizium-Anoden bauen

    Akkus für nur 1.000 Elektroautos im Jahr will Porsche mit der neuen Tochterfirma Cellforce bauen. Vor allem für den Motorsport.

  2. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

wurstdings 22. Apr 2020

Genau anders herum, was zum Absturz führt wird mit sehr hoher Wahrscheinlichkeit gefixt...

37f0c33164879f3... 22. Apr 2020

Heise hat darüber berichtet und ich wurde bereits gestern privat anegschrieben Über eine...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€/Lite 18,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • Gaming-Chairs von Razer uvm. • HyperX Cloud II 51,29€ • iPhone 12 128GB 769€ • TV OLED & QLED [Werbung]
    •  /