• CWE-134: Use of Externally-Controlled Format String

  • Das Produkt verwendet eine Funktion, die einen Formatstring als Argument akzeptiert, wobei der Formatstring aus einer externen Quelle stammt.

CWE-134: Use of Externally-Controlled Format String

CWE ID: 134
Name: Use of Externally-Controlled Format String

Beschreibung

  • Das Produkt verwendet eine Funktion, die einen Formatstring als Argument akzeptiert, wobei der Formatstring aus einer externen Quelle stammt.

Risikominderungsmaßnahmen

Maßnahme (Requirements)

Effektivität: Unknown
Beschreibung: Wählen Sie eine Sprache, die nicht anfällig für diesen Schwachpunkt ist.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass alle Formatstring-Funktionen einen statischen String erhalten, der nicht von Benutzereingaben kontrolliert werden kann, und dass stets die korrekte Anzahl an Argumenten an diese Funktion übergeben wird. Wenn möglich, verwenden Sie Funktionen, die den %n-Operator in Formatstrings nicht unterstützen. [REF-116] [REF-117]

Maßnahme (Build and Compilation)

Effektivität: Unknown
Beschreibung: Führen Sie Compiler und Linker mit hohen Warnstufen aus, da diese möglicherweise fehlerhafte Nutzung erkennen können.