AUTOSAR C++14 Rule A5-6-1

The right hand operand of the integer division or remainder operators shall not be equal to zero

このページをすべて展開する

説明

ルール定義

整数の除算演算子または残余演算子の右オペランドがゼロに等しくてはなりません。

根拠

  • 分子 (被除数) が可能な限りの最小値であり、分母 (除数) が -1 である場合、除算演算は結果が現在の変数のサイズでは表現できないためオーバーフローします。

  • 分母がゼロである場合、除算演算は失敗し、プログラムがクラッシュがする可能性があります。

こうしたリスクは、恣意的なコードの実行に利用される可能性があります。このようなコードは通例において、プログラムの暗黙的なセキュリティ ポリシーの範囲外です。

  • 2 番目の残余オペランドが 0 である場合、残余演算は失敗し、プログラムはクラッシュします。

  • 2 番目の残余オペランドが -1 である場合、オーバーフローし得る除算演算を基に残余演算が実装されていると、その残余演算はオーバーフローする可能性があります。

  • オペランドの 1 つが負である場合、演算の結果は不確定になります。C89 ではモジュロ演算は標準化されていないため、負のオペランドによる結果は処理系定義となります。

こうしたリスクは、攻撃者によってプログラムあるいはターゲット一般へのアクセスに利用される場合があります。

Polyspace 実装

チェッカーは以下の場合に欠陥を報告します。

  • 除算演算またはモジュロ演算の分母 (除数) がゼロ値の整数になる可能性がある。

  • 整数オペランドの一方あるいは両方がセキュリティで保護されないソース由来である除算演算がある。

  • 汚染されたオペランドが 1 つ以上含まれているモジュロ演算がある。

チェッカーの拡張

特定の値と外部入力を原因とする欠陥をチェックするには、このチェッカーを拡張してください。次に例を示します。

トラブルシューティング

ルール違反が想定されるものの、Polyspace から報告されない場合は、コーディング規約違反が想定どおりに表示されない理由の診断を参照してください。

すべて展開する

int fraction(int num)
{
    int denom = 0;
    int result = 0;

    result = num/denom;

    return result;
}

denom がゼロであるため、num/denom でゼロ除算エラーが発生します。

修正 — 除算の前にチェック
int fraction(int num)
{
    int denom = 0;
    int result = 0;

    if (denom != 0)
        result = num/denom;

    return result;
}

除算の前に、分母がゼロかどうかを確認するためのテストを追加して、除算が実行される前にチェックします。denom が常にゼロである場合は、この修正により Polyspace の結果にデッド コードの欠陥が報告される可能性があります。

修正 — 分母を変更

1 つの修正方法として、denom がゼロでなくなるように分母の値を変更することができます。

int fraction(int num)
{
    int denom = 2;
    int result = 0;

    result = num/denom;

    return result;
}
int mod_arr(int input)
{
    int arr[5];
    for(int i = 0; i < 5; i++)
    {
        arr[i] = input % i;
    }

    return arr[0]+arr[1]+arr[2]+arr[3]+arr[4];
}

この例では、Polyspace がモジュロ演算にゼロ除算のフラグを立てます。モジュロは本質として除算演算であるため、除数 (右辺引数) をゼロにすることはできません。このモジュロ演算では、除数として for ループのインデックスを使用しています。しかし、for ループはゼロから開始されるので、反復子にはできません。

修正 — 演算の前に除数をチェック

1 つの修正方法として、モジュロ演算の前に除数をチェックします。この例では、モジュロ演算の前に指数 i がゼロかどうかを確認します。

int mod_arr(int input)
{
    int arr[5];
    for(int i = 0; i < 5; i++)
    {
        if(i != 0)
        {
             arr[i] = input % i;
        }
        else
        {
             arr[i] = input;
        }
    }

    return arr[0]+arr[1]+arr[2]+arr[3]+arr[4];
}
修正 — 除数を変更

別の修正方法として、除数を非ゼロの整数に変更します。この例では、% 演算の前に指数に 1 を加算して、ゼロ除算を回避しています。

int mod_arr(int input)
{
    int arr[5];
    for(int i = 0; i < 5; i++)
    {
         arr[i] = input % (i+1);
    }

    return arr[0]+arr[1]+arr[2]+arr[3]+arr[4];
}
#include <limits.h>
#include <stdio.h>

extern void print_int(int);

int taintedintdivision(void) {
    long num, denum;
    scanf("%lf %lf", &num, &denum);
    int r =  num/denum; //Noncompliant
    print_int(r);
    return r;
}

この関数例では、2 つの引数変数の除算を行い、それを表示して結果を返します。その引数値は不明であり、ゼロ除算や整数オーバーフローの原因となることがあります。

修正 — 値をチェック

1 つの修正方法として、除算を実行する前に分子と分母の値をチェックします。

#include <limits.h>
#include <stdio.h>

extern void print_long(long);

int taintedintdivision(void) {
    long num, denum;
    scanf("%lf %lf", &num, &denum);
    long res= 0;
    if (denum!=0 && !(num==INT_MIN && denum==-1)) {
        res = num/denum;
    }
    print_long(res);
    return res;
}
#include <stdio.h>
extern void print_int(int);

int taintedintmod(void) {
    int userden;
    scanf("%d", &userden);
    int rem =  128%userden; //Noncompliant
    print_int(rem);
    return rem;
}

この例では、関数がユーザー入力を使用してモジュロ演算を実行します。残余を計算する前に、プログラムをクラッシュさせる可能性のある 0 や -1 などの値に対して入力がチェックされていません。

修正 — オペランドの値をチェック

1 つの修正方法として、モジュロ演算を実行する前にオペランドの値をチェックします。次に示す修正例では、モジュロ演算は 2 番目のオペランドが 0 より大きい場合にのみ続行します。

#include<stdio.h>
extern void print_int(int);

int taintedintmod(void) {
    int userden;
    scanf("%d", &userden);
    int rem = 0;
    if (userden > 0 ) { 
        rem = 128 % userden; 
    }
    print_int(rem);
    return rem;
}

チェック情報

グループ:
カテゴリ: Required、Automated

バージョン履歴

R2019a で導入

参考

トピック