Die Common Weakness Enumeration CWE-377 beschreibt eine – vermeidbare – Schwachstelle durch unsicheres Erstellen und Verwalten temporärer Dateien.
In der Praxis nutzen Entwicklerinnen und Entwickler temporäre Dateien häufig dazu, um Daten während der Ausführung einer Anwendung vorübergehend zu speichern. Diese Daten sollen entweder direkt verarbeitet oder auch an andere Teile eines Programms weitergegeben werden – und sie können vertrauliche Informationen enthalten.
Der Code in diesem Beispiel erstellt eine temporäre Datei mit einem fest codierten Dateinamen im Verzeichnis /tmp. Dieser Ansatz ist aus mehreren Gründen unsicher: Der Dateiname ist vorhersehbar, sodass ein Angreifer vor der Anwendung eine Datei mit demselben Namen erstellen kann, was zu der genannten TOCTOU-Race-Condition führt. Die Datei wird ohne Kontrolle über Dateiberechtigungen erstellt, wodurch möglicherweise auch vertrauliche Daten offengelegt werden.
Denial of Service : Durch das präventive Erstellen temporärer Dateien mit den Namen, die eine Anwendung voraussichtlich verwenden wird, kann ein Angreifer gezielt den ordnungsgemäßen Betrieb einer Anwendung verhindern und einen Denial of Service auslösen.Um CWE-377 zu verhindern, müssen Entwickler bei der Arbeit mit temporären Dateien sichere Programmierpraktiken einhalten.
In diesem Codebeispiel ist die Datei nur vom Eigentümer lesbar und beschreibbar, wodurch das Risiko eines unbefugten Zugriffs minimiert wird.Das Verwenden fest codierter Dateinamen, wie im ersten unsicheren obigen Beispiel gezeigt, ist riskant, da dadurch der temporäre Dateiname vorhersehbar wird.
Java Programmierung Security Softwareentwicklung Unit Test
Deutschland Neuesten Nachrichten, Deutschland Schlagzeilen
Similar News:Sie können auch ähnliche Nachrichten wie diese lesen, die wir aus anderen Nachrichtenquellen gesammelt haben.
Lufthansa und die unsichere Wette auf das Drehkreuz RomLufthansa plant, den Flughafen Rom-Fiumicino als sechstes Drehkreuz für Langstreckenflüge auszubauen. Dabei sollen insbesondere Verbindungen nach Lateinamerika und Afrika gestärkt werden. Analysten haben jedoch Zweifel am Flughafen und der Umsetzung.
Weiterlesen »
Malware: Erkennung entgehen durch angeflanschtes ZIPIT-Forscher haben Malware entdeckt, die der Erkennung durch Virenscanner durch Verkettung von ZIP-Dateien entgeht.
Weiterlesen »
Die Herren der Lüfte und die zwei Türme: Die größten Feldspieler in FC 25Sie sind die wahren Erben Kollers und Crouchs: 13 Feldspieler sind in EA SPORTS FC 25 über zwei Meter groß. Zwei der virtuellen Riesen spielen in Deutschland.
Weiterlesen »
Sören Pellmann (Die Linke): 'Die Linke ist ganz klar die Friedenspartei'Halle/Bonn (ots) - Sören Pellmann (Die Linke) ist überzeugt, die Linke müsse trotz ihrer Krise 'nicht alle Inhalte neu erfinden'. Beim Parteitag in Halle sagte der Bundestags-Gruppenvorsitzende der Partei
Weiterlesen »
Die nächste Wahl ist die letzte Chance für die LinkeInes Schwerdtner (l) und Jan van Aken sind die neuen Parteivorsitzenden der Linken.
Weiterlesen »
Verstappen vs. Norris in der Formel 1: Die Kontroverse, die die WM auf den Kopf stelltAls Norris den Niederländer außen überholt, verlassen beide die Strecke. Norris wird bestraft, Verstappen nicht. Das sorgt für Ärger.
Weiterlesen »