Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Angeblich Backdoor im…

Flüchtiger Code-Review... komischer Code

  1. Thema

Neues Thema Ansicht wechseln


  1. Flüchtiger Code-Review... komischer Code

    Autor: Siwa 15.12.10 - 13:52

    In der Tat scheint etwas an der Funktion icmp6_mtudisc_update() [ab http://fxr.watson.org/fxr/source/netinet6/icmp6.c?im=10#L1202] auf den ersten Blick nicht zu stimmen. Die Verwendung in der Datei http://fxr.watson.org/fxr/source/netipsec/ipsec_input.c#L883 konnte ich nicht ganz nachvollziehen. Sicher, dass war nur ein sehr flüchtiger Review aber für mich bleiben dort fälle ohne korrekte Behandlung.

  2. Re: Flüchtiger Code-Review... komischer Code

    Autor: bstea. 15.12.10 - 16:20

    Ich konnte nichts erkennen, sieht sehr sauber und kommentiert aus.

  3. Re: Flüchtiger Code-Review... komischer Code

    Autor: haheho 16.12.10 - 04:36

    Naja, allein die verwendung von union's ist bei sicherheitsrelavanten bereichen eher ein "you don't"... leider allzuoft doch anzutreffen, vom sk_buff im linuxkernel bis ipsec...

  4. Re: Flüchtiger Code-Review... komischer Code

    Autor: wonttell 16.12.10 - 09:42

    icmp6 vor 10 jahren? mit dem wissen, dass heute jemand reden koennte? eher unwahrscheinlich

  5. Re: Flüchtiger Code-Review... komischer Code

    Autor: bstea. 16.12.10 - 10:28

    Hallo,
    kannst du das näher erläutern oder eine Quelle zum nachlesen angeben.

    Danke.

  6. Re: Flüchtiger Code-Review... komischer Code

    Autor: haheho 16.12.10 - 10:50

    Nachlesen des "you don't" für union's im sicherheitsbereich?

    MISRA-C:

    Rule 18.4: Unions shall not be used

    QED

    Das ganze wird zwar noch ein wenig relativiert, das unter ganz bestimmten umständen soetwas für effiziente Implementierungen nützlich sein kann. IP Stacks sind vllt. genau so eine Ausnahme - ein "gschmäckle" bleibt aber immer bei unions...

  7. Re: Flüchtiger Code-Review... komischer Code

    Autor: haheho 16.12.10 - 10:54

    Sorry genauer gesagt MISRA-C 2004 (da haben u.a. die Regeln neue Nummern bekommen)

    http://en.wikipedia.org/wiki/MISRA_C

  8. Re: Flüchtiger Code-Review... komischer Code

    Autor: Siwa 17.12.10 - 23:27

    Ich habe mich heute nochmal mit mehreren Kollegen zusammengesetzt. An der oben genannten Stelle sind zwar tatsächliche einige Fälle nicht abgedeckt, diese stufen wir aber als für die Sicherheit belanglos ein. Trotzdem sollte ein solcher Code keine Freigabe erhalten in einem Sicherheitskontext... entweder ist der zuständige Leiter also entweder nicht ausreichend geschult (milde ausgedrückt), oder er winkt den Code bestimmter Commiter autuomatisch durch.

    Egal welcher Fall, wir werden unseren Kunden davon abraten entsprechende Systeme zu verwenden. Der Schaden der hier verursacht wurde geht allein bei uns in den 6-stelligen Bereich, da tausende Systeme umkonfiguriert werden müssen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Universität Hamburg, Hamburg
  3. Stadtwerke Bonn GmbH, Bonn
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.149,00€ (Bestpreis!)
  2. 74,90€ (zzgl. Versand)
  3. 124,90€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  2. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  3. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

  1. Routerfreiheit: Vodafone will noch keine eigenen Glasfasermodems zulassen
    Routerfreiheit
    Vodafone will noch keine eigenen Glasfasermodems zulassen

    Vodafone streitet sich mit der Bundesnetzagentur, ob die Routerfreiheit in Glasfasernetzen auch für das Glasfasermodem (ONT) gilt. Ein Nutzer argumentiert dagegen, das öffentliche Glasfasernetz ende an der Glasfaser-Teilnehmeranschlussdose, wo man als Endkunde sein ONT verbinden kann.

  2. Mercedes EQV: Daimler zeigt elektrische Großraumlimousine
    Mercedes EQV
    Daimler zeigt elektrische Großraumlimousine

    Stilvoll elektrisch shuttlen: Daimler hat für die IAA die serienreife Version des Mercedes EQC angekündigt. In dem Elektro-Van haben sechs bis acht Insassen Platz.

  3. Fogcam: Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet
    Fogcam
    Älteste bestehende Webcam wird nach 25 Jahren abgeschaltet

    Die Webcam Fogcam nimmt seit 1994 Bilder vom Gelände der San Francisco State University aus auf. Nach 25 Jahren wird die Kamera nun abgeschaltet, laut den Machern unter anderem wegen fehlender guter Aussicht.


  1. 18:01

  2. 17:40

  3. 17:03

  4. 16:41

  5. 16:04

  6. 15:01

  7. 15:00

  8. 14:42