CWE ID: 242
Name: Use of Inherently Dangerous Function
Das Produkt ruft eine Funktion auf, deren sicheres Funktionieren nicht garantiert werden kann.
Bestimmte Funktionen verhalten sich unabhängig von ihrer Nutzung gefährlich. Diese Funktionen wurden häufig ohne Berücksichtigung von Security Concerns implementiert. Die Funktion gets() ist unsicher, da sie keine Bounds Checking hinsichtlich der Größe der Eingabe durchführt. Ein Angreifer kann problemlos Eingaben beliebiger Größe an gets() senden und den Zielpuffer überlaufen. Ähnlich verhält es sich mit dem >> Operator, der bei der Lektüre in ein statisch allokiertes Character Array unsicher ist, da er ebenfalls keine Bounds Checking hinsichtlich der Größe der Eingabe durchführt. Ein Angreifer kann problemlos Eingaben beliebiger Größe an den >> Operator senden und den Zielpuffer überlaufen.
Effektivität: Unknown
Beschreibung: Verboten wird die Nutzung gefährlicher Funktionen. Stattdessen sind deren sichere Equivalente zu verwenden.
Effektivität: Unknown
Beschreibung: Nutzen Sie grep oder Static Analysis Tools, um die Verwendung gefährlicher Funktionen zu identifizieren.
