CERT C++: FIO30-C

Exclude user input from format strings

説明

ルール定義

書式文字列からユーザー入力を除外します。¹

Polyspace 実装

ルールチェッカーは、"汚染された文字列形式" をチェックします。

チェッカーの拡張

既定の Bug Finder 解析では、現在の解析境界の外部からの特定の入力に関する "汚染された文字列形式" 問題にフラグを設定しない場合があります。Polyspace 解析での汚染のソースを参照してください。Polyspace 解析の現在のスコープ以外から発生したすべてのデータを汚染されたものと見なすには、コマンドラインオプション [-consider-analysis-perimeter-as-trust-boundary] を使用します。

例

すべて展開する

汚染された文字列形式

問題

汚染された文字列形式では、セキュリティが保護されないソースに由来する要素が含まれる、printf スタイルの関数による文字列形式化を検出します。

リスク

外部で制御される要素を使用して文字列を形式化すると、バッファーオーバーフローやデータ表現の問題の原因となることがあります。攻撃者はこうした文字列形式の設定要素を利用して、%x でスタックの内容を表示し、あるいは %n でスタックへの書き込みを行うことができます。

修正方法

静的文字列を渡して文字列関数を形式化します。この修正により、外部アクターは文字列を制御できなくなります。

別の修正方法として、必要な数の引数のみを許可します。可能な場合は、脆弱性のある %n 演算子をサポートしない関数を、文字列形式で使用します。

例 - ユーザー入力から要素を取得

#include <stdio.h>
#include <unistd.h>
#define MAX 40
void taintedstringformat(void) {
	char userstr[MAX];
	read(0,userstr,MAX);
	printf(userstr); //Noncompliant
}

この例では、入力引数 userstr を出力しています。この文字列は不明です。そこに % などの要素が含まれている場合、printf では userstr が文字列でなく文字列形式と解釈され、プログラムがクラッシュする原因となります。

修正 — 文字列として出力

1 つの修正方法として、userstr を明示的に文字列として出力し、あいまいさをなくします。

#include "stdio.h"
#include <unistd.h>
#define MAX 40

void taintedstringformat(void) {
	char userstr[MAX];
	read(0,userstr,MAX);
	printf("%.20s", userstr); 
}

チェック情報

グループ: 07.入出力 (FIO)

バージョン履歴

R2019a で導入

参考

SEI CERT-C++ をチェック (-cert-cpp)

トピック

コーディング規約違反のチェックおよびレビュー

外部の Web サイト

FIO30-C

¹ This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.