CWE-665

Improper Initialization

AI Translation Available

The product does not initialize or incorrectly initializes a resource, which might leave the resource in an unexpected state when it is accessed or used.

Status

draft

Abstraction

class

Likelihood

medium

Affected Platforms

Extended Description

AI Translation

This can have security implications when the associated resource is expected to have certain properties or values, such as a variable that determines whether a user has been authenticated or not.

Technical Details

AI Translation

Common Consequences

confidentiality access control availability

Impacts

read memory read application data bypass protection mechanism dos: crash, exit, or restart

Detection Methods

automated dynamic analysis manual dynamic analysis automated static analysis

Potential Mitigations

Phases:

requirements architecture and design implementation build and compilation testing

Descriptions:

• Use a language that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid. For example, in Java, if the programmer does not explicitly initialize a variable, then the code could produce a compile-time error (if the variable is local) or automatically initialize the variable to the default value for the variable's type. In Perl, if explicit initialization is not performed, then a default value of undef is assigned, which is interpreted as 0, false, or an equivalent value depending on the context in which the variable is accessed.

• Explicitly initialize all your variables and other data stores, either during declaration or just before the first usage.

• Avoid race conditions (CWE-362) during initialization routines.

• Use automated static analysis tools that target this type of weakness. Many modern techniques use data flow analysis to minimize the number of false positives. This is not a perfect solution, since 100% accuracy and coverage are not feasible.

• Identify all variables and data stores that receive information from external sources, and apply input validation to make sure that they are only initialized to expected values.

• Pay close attention to complex conditionals that affect initialization, since some conditions might not perform the initialization.

• Run or compile your product with settings that generate warnings about uninitialized variables or data.

AI Generated Translation

Common Consequences

riservatezza controllo degli accessi disponibilità

Impacts

leggere memoria leggere dati applicazione elusione del meccanismo di protezione dos: crash, uscita o riavvio

Detection Methods

analisi dinamica automatizzata analisi dinamica manuale analisi statica automatizzata

Potential Mitigations

Phases:

requisiti architettura e design implementazione compilazione e build verifica

Descriptions:

• Usa un linguaggio che non consenta che questa vulnerabilità si verifichi o che fornisca costrutti che rendano più facile evitarla. Ad esempio, in Java, se il programmatore non inizializza esplicitamente una variabile, il codice potrebbe generare un errore di compilazione (se la variabile è locale) o inizializzare automaticamente la variabile al valore predefinito per il tipo della variabile. In Perl, se non viene eseguita un'inizializzazione esplicita, viene assegnato il valore predefinito di undef, che viene interpretato come 0, false o un valore equivalente a seconda del contesto in cui la variabile viene accessibile.

• Inizializza esplicitamente tutte le tue variabili e altri depositi di dati, sia durante la dichiarazione che subito prima del primo utilizzo.

• Evitare le condizioni di race (CWE-362) durante le routine di inizializzazione.

• Utilizzare strumenti di analisi statica automatizzata che mirano a questo tipo di vulnerabilità. Molte tecniche moderne impiegano analisi del flusso di dati per ridurre al minimo il numero di falsi positivi. Questa non è una soluzione perfetta, poiché accuratezza e copertura del 100% non sono realizzabili.

• Identifica tutte le variabili e i data store che ricevono informazioni da fonti esterne e applica la validazione degli input per assicurarti che siano inizializzati solo con valori attesi.

• Presta attenzione alle condizioni complesse che influenzano l'inizializzazione, poiché alcune condizioni potrebbero non eseguire l'inizializzazione.

• Esegui o compila il tuo prodotto con impostazioni che generano avvisi riguardanti variabili o dati non inizializzati.

CWE-665

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter