Veröffentlichung des GNU cflow 1.7 Tools

Nach drei Jahren Entwicklung wurde die Version 1.7 des GNU cflow-Tools veröffentlicht, das dazu dient, anschauliche Funktionsaufrufgraphen in C-Programmen zu erstellen. Dies kann verwendet werden, um das VerstĂ€ndnis der Anwendungslogik zu erleichtern. Der Graph wird ausschließlich auf Grundlage der Analyse des Quelltextes erstellt, ohne dass das Programm ausgefĂŒhrt werden muss. Die Generierung von sowohl direkten als auch inversen Flussgraphen sowie von Listen mit Verweis-Kreuzungen fĂŒr Code-Dateien wird unterstĂŒtzt.

Die Veröffentlichung zeichnet sich durch die Implementierung der UnterstĂŒtzung fĂŒr das Ausgabeformat „dot“ (‚—format=dot‘) aus, um Ergebnisse in der DOT-Sprache zu erzeugen, die fĂŒr die Visualisierung in der Graphviz-Software verwendet werden können. Es wurde die Möglichkeit hinzugefĂŒgt, mehrere Startfunktionen durch Duplizieren der Optionen ‚—main‘ anzugeben; fĂŒr jede dieser Funktionen wird ein separater Graph erzeugt. Außerdem wurde die Option „—target=FUNCTION“ hinzugefĂŒgt, die es ermöglicht, den resultierenden Graphen nur auf den Pfad zu beschrĂ€nken, der bestimmte Funktionen umfasst (die Option „—target“ kann mehrmals angegeben werden). Im cflow-Modus wurden neue Befehle zur Navigation durch den Graphen hinzugefĂŒgt: „c“ — Wechsel zur aufrufenden Funktion, „n“ — Wechsel zur nĂ€chsten Funktion auf derselben Verschachtelungsebene und „p“ — Wechsel zur vorherigen Funktion mit derselben Verschachtelungstiefe.

In der neuen Version wurden auch zwei SicherheitsanfĂ€lligkeiten behoben, die bereits 2019 festgestellt wurden und zu SpeicherbeschĂ€digungen bei der Verarbeitung speziell formatierter Quelltexte in cflow fĂŒhren. Die erste AnfĂ€lligkeit (CVE-2019-16165) entsteht durch den Zugriff auf den Speicher nach seiner Freigabe (use-after-free) im Code des Parsers (Funktion reference in parser.c). Die zweite AnfĂ€lligkeit (CVE-2019-16166) betrifft einen PufferĂŒberlauf in der Funktion nexttoken(). Nach Ansicht der Entwickler stellen die genannten Probleme keine Sicherheitsbedrohung dar, da sie lediglich zu einem unerwarteten Beenden des Programms fĂŒhren.

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster