ช่องโหว่ใหม่ใน OpenSSL ถูกพบโดยตัววิเคราะห์โค้ดใน GCC 10

หัวข้อกระทู้ ใน 'เทคโนโลยี' เริ่มโพสต์โดย iPokz, 23 เมษายน 2020.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    OpenSSL ออกแพตช์ความปลอดภัยเวอร์ชั่น 1.1.1g แก้ช่องโหว่ที่คนร้ายสามารถแครชเซิร์ฟเวอร์ได้จากระยะไกล โดยความพิเศษของการออกแพตช์ครั้งนี้คือ Bernd Edlinger ผู้รายงานช่องโหว่พบช่องโหว่จากระบบวิเคราะห์โค้ดของ GCC 10

    GCC 10 เป็นเวอร์ชั่นต่อไปของ GCC ที่เพิ่งหยุดพัฒนาฟีเจอร์ใหม่เมื่อปลายปีที่แล้ว โดยเวอร์ชั่นเสถียรตัวแรก น่าจะเป็น 10.1 ที่น่าจะออกภายในเดือนเมษายนนี้ หนึ่งในฟีเจอร์สำคัญคือ -fanalyzer ที่วิเคราะห์โค้ดหาช่องโหว่ความปลอดภัยไปด้วยระหว่างคอมไพล์ ฟีเจอร์นี้ทำให้ GCC แจ้งเตือนได้ว่ามีการใช้หน่วยความจำที่คืนไปแล้ว หรือโค้ดทำหน่วยความจำรั่วไหล โดยผู้พัฒนาฟีเจอร์นี้คือ David Malcolm จาก Red Hat ที่ระบุว่าการมีระบบวิเคราะห์ความปลอดภัยโค้ดอยู่ในคอมไพล์เลอร์โดยตรงนั้นจะเพิ่มความสะดวกในการหาช่องโหว่แทนที่จะต้องหาซอฟต์แวร์วิเคราะห์โค้ดแยก

    ช่องโหว่มีความร้ายแรงระดับสูงแต่กระทบเฉพาะเวอร์ชั่น 1.1.1d, 1.1.1e, และ 1.1.1f เท่านั้น ผู้ดูแลระบบควรตรวจสอบแพ็กเกจและอัพเดตเมื่อลินุกซ์ดิสโทรที่ใช้ปล่อยแพ็กเกจออกมา

    ที่มา - The Register

    [​IMG]

    ตัวอย่างโค้ดที่ GCC 10 จะแจ้งเตือนว่าโค้ดผิดพลาดได้

    Topics: OpenSSLGCCSecurity
     

แบ่งปันหน้านี้