新闻来源:solidot
澳大利亚研究人员
Silvio Cesare发布了
一个工具,能
自动检测Linux库中的bug和漏洞。脚步将第三方库与漏洞公告CVE关联起来,判断Linux平台上的库是否有漏洞或者没有打上补丁。类似的漏洞经常由于库没有和源保持更新而逃脱开发者的眼睛,再加上交叉分布使得问题进一步复杂化。
例如Firefox中的libpng库在漏洞发现3个月后才修复。Cesare的工具根据文件名和内容识别类似的源文件,用
ssdeep 产生哈希数判断相似包,识别源码包之间的关系,用图论执行分析。