Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Angeblich Backdoor im…

Flüchtiger Code-Review... komischer Code

  1. Thema

Neues Thema Ansicht wechseln


  1. Flüchtiger Code-Review... komischer Code

    Autor: Siwa 15.12.10 - 13:52

    In der Tat scheint etwas an der Funktion icmp6_mtudisc_update() [ab http://fxr.watson.org/fxr/source/netinet6/icmp6.c?im=10#L1202] auf den ersten Blick nicht zu stimmen. Die Verwendung in der Datei http://fxr.watson.org/fxr/source/netipsec/ipsec_input.c#L883 konnte ich nicht ganz nachvollziehen. Sicher, dass war nur ein sehr flüchtiger Review aber für mich bleiben dort fälle ohne korrekte Behandlung.

  2. Re: Flüchtiger Code-Review... komischer Code

    Autor: bstea. 15.12.10 - 16:20

    Ich konnte nichts erkennen, sieht sehr sauber und kommentiert aus.

  3. Re: Flüchtiger Code-Review... komischer Code

    Autor: haheho 16.12.10 - 04:36

    Naja, allein die verwendung von union's ist bei sicherheitsrelavanten bereichen eher ein "you don't"... leider allzuoft doch anzutreffen, vom sk_buff im linuxkernel bis ipsec...

  4. Re: Flüchtiger Code-Review... komischer Code

    Autor: wonttell 16.12.10 - 09:42

    icmp6 vor 10 jahren? mit dem wissen, dass heute jemand reden koennte? eher unwahrscheinlich

  5. Re: Flüchtiger Code-Review... komischer Code

    Autor: bstea. 16.12.10 - 10:28

    Hallo,
    kannst du das näher erläutern oder eine Quelle zum nachlesen angeben.

    Danke.

  6. Re: Flüchtiger Code-Review... komischer Code

    Autor: haheho 16.12.10 - 10:50

    Nachlesen des "you don't" für union's im sicherheitsbereich?

    MISRA-C:

    Rule 18.4: Unions shall not be used

    QED

    Das ganze wird zwar noch ein wenig relativiert, das unter ganz bestimmten umständen soetwas für effiziente Implementierungen nützlich sein kann. IP Stacks sind vllt. genau so eine Ausnahme - ein "gschmäckle" bleibt aber immer bei unions...

  7. Re: Flüchtiger Code-Review... komischer Code

    Autor: haheho 16.12.10 - 10:54

    Sorry genauer gesagt MISRA-C 2004 (da haben u.a. die Regeln neue Nummern bekommen)

    http://en.wikipedia.org/wiki/MISRA_C

  8. Re: Flüchtiger Code-Review... komischer Code

    Autor: Siwa 17.12.10 - 23:27

    Ich habe mich heute nochmal mit mehreren Kollegen zusammengesetzt. An der oben genannten Stelle sind zwar tatsächliche einige Fälle nicht abgedeckt, diese stufen wir aber als für die Sicherheit belanglos ein. Trotzdem sollte ein solcher Code keine Freigabe erhalten in einem Sicherheitskontext... entweder ist der zuständige Leiter also entweder nicht ausreichend geschult (milde ausgedrückt), oder er winkt den Code bestimmter Commiter autuomatisch durch.

    Egal welcher Fall, wir werden unseren Kunden davon abraten entsprechende Systeme zu verwenden. Der Schaden der hier verursacht wurde geht allein bei uns in den 6-stelligen Bereich, da tausende Systeme umkonfiguriert werden müssen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BG BAU - Berufsgenossenschaft der Bauwirtschaft, Berlin
  2. NÜRNBERGER Versicherung, Nürnberg
  3. Etkon GmbH, Gräfelfing
  4. INTENSE AG, Würzburg, Köln, Saarbrücken

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Logitech G502 Proteus Spectrum für 39€ und Nokia 3.2 DS 16 GB für 84,99€ - Bestpreise!)
  2. 179€ (Bestpreis - nach 40€ Direktabzug)
  3. 35€ (Bestpreis!)
  4. 199€ + Versand


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49