CERT C++: INT32-C

Ensure that operations on signed integers do not result in overflow

このページをすべて展開する

説明

ルール定義

符号付き整数に対する演算でオーバーフローが発生しないようにします。¹

Polyspace 実装

ルールチェッカーは以下の問題をチェックします。

整数のオーバーフロー。
汚染された除算演算子。
汚染されたモジュロ演算子。

チェッカーの拡張

次の場合は、より厳密な解析を実行するように、このチェッカーを拡張します。

入力値が不明であり、入力のサブセットのみがエラーの原因となっている場合、既定の Bug Finder 解析では "整数のオーバーフロー" を検出しない場合があります。特定のシステム入力値が原因でこの問題が発生するかどうかをチェックするには、より厳密な Bug Finder 解析を実行してください。特定のシステム入力値から欠陥を見つけるための Bug Finder チェッカーの拡張を参照してください。
既定の Bug Finder 解析では、現在の解析境界の外部からの特定の入力に関する "汚染された除算演算子" や "汚染されたモジュロ演算子" 問題にフラグを設定しない場合があります。Polyspace 解析での汚染のソースを参照してください。Polyspace 解析の現在のスコープ以外から発生したすべてのデータを汚染されたものと見なすには、コマンドラインオプション [-consider-analysis-perimeter-as-trust-boundary] を使用します。

例

すべて展開する

整数のオーバーフロー

問題

整数のオーバーフローは、整数変数に対する演算が、結果のデータ型では表せない値になる可能性がある場合に発生します。変数のデータ型によって、変数ストレージに割り当てられるバイト数が決まり、許容される値の範囲が制限されます。

異なる浮動小数点型への正確なストレージ割り当てはプロセッサに依存します。ターゲットプロセッサタイプ (-target)を参照してください。

リスク

符号付き整数のオーバーフローにより、未定義の動作が発生します。

修正方法

修正方法は欠陥の根本原因によって異なります。多くの場合、結果の詳細には欠陥につながる一連のイベントが表示されます。このイベントリストを使用して、オーバーフローの発生した計算で変数がどのように現在の値を取得したのかを確認します。そのシーケンス内のどのイベントについても修正を実装できます。結果の詳細にイベント履歴が表示されない場合は、ソースコード内で右クリックオプションを使用して逆のトレースを行い、これまでの関連するイベントを確認できます。Polyspace デスクトップユーザーインターフェイスでの Bug Finder の結果の解釈も参照してください。

この欠陥は次のようにして修正できます。

すべての値に適応できるように、演算の結果に対してより大きいデータ型を使用。
オーバーフローにつながる値をチェックし、適切なエラー処理を実行。

通常、オーバーフローを回避するために、次のいずれかの手法を試します。

整数変数値を符号付き整数の範囲の半分の範囲内に制限。
オーバーフローする可能性がある演算で、オーバーフローにつながる可能性がある条件をチェックし、演算の結果を使用する方法に応じてラップアラウンド動作または飽和動作を実装。結果が予測可能になり、以降の計算で安全に使用できます。

以下の修正例を参照してください。

問題を修正しない場合は、改めてレビューされないように結果またはコードにコメントを追加します。詳細は、以下を参照してください。

Polyspace ユーザーインターフェイスでのバグ修正または正当化による結果への対処(Polyspace ユーザーインターフェイスで結果をレビューする場合)
Polyspace Access でのバグ修正または正当化による結果への対処 (Polyspace Access)(Web ブラウザーで結果をレビューする場合)。
コードへの注釈付けと既知の結果または許容可能な結果の非表示 (IDE で結果をレビューする場合)

例 - 整数の最大値に加算する

#include <limits.h>

int plusplus(void) {

    int var = INT_MAX;
    var++; //Noncompliant
    return var;
}

この関数の 3 番目のステートメントで、変数 var は 1 つ増加しています。しかし var の値は整数の最大値であるため、整数の最大値に 1 を加えると int では表現できません。

修正 — 異なるストレージ型

1 つの修正方法として、データ型を変更することができます。演算結果をより大きいデータ型に保存します (32 ビットマシンでは、int と long は同じサイズです)。この例では、32 ビットマシンで int ではなく long long を返すことでオーバーフローエラーが修正されます。

#include <limits.h>

long long plusplus(void) {

    long long lvar = INT_MAX;
    lvar++;
    return lvar;
}

汚染された除算演算子

問題

汚染された除算演算子では、整数オペランドの一方あるいは両方がセキュリティで保護されないソース由来である除算演算を検出します。

リスク

分子 (被除数) が可能な限りの最小値であり、分母 (除数) が -1 である場合、除算演算は結果が現在の変数のサイズでは表現できないためオーバーフローします。
分母がゼロである場合、除算演算は失敗し、プログラムがクラッシュがする可能性があります。

こうしたリスクは、恣意的なコードの実行に利用される可能性があります。このようなコードは通例において、プログラムの暗黙的なセキュリティポリシーの範囲外です。

修正方法

除算を実行する前に、オペランドの値を検証します。0 または -1 の分母や、最小の整数値の分子についてチェックします。

例 - 関数の引数の除算

#include <limits.h>
#include <stdio.h>

extern void print_int(int);

int taintedintdivision(void) {
    long num, denum;
    scanf("%lf %lf", &num, &denum);
    int r =  num/denum; //Noncompliant
    print_int(r);
    return r;
}

この関数例では、2 つの引数変数の除算を行い、それを表示して結果を返します。その引数値は不明であり、ゼロ除算や整数オーバーフローの原因となることがあります。

修正 — 値をチェック

1 つの修正方法として、除算を実行する前に分子と分母の値をチェックします。

#include <limits.h>
#include <stdio.h>

extern void print_long(long);

int taintedintdivision(void) {
    long num, denum;
    scanf("%lf %lf", &num, &denum);
    long res= 0;
    if (denum!=0 && !(num==INT_MIN && denum==-1)) {
        res = num/denum;
    }
    print_long(res);
    return res;
}

汚染されたモジュロ演算子

問題

汚染されたモジュロ演算子では、残余演算 % のオペランドがチェックされます。Bug Finder では、汚染されたオペランドが 1 つ以上含まれているモジュロ演算にフラグを立てます。

リスク

2 番目の残余オペランドが 0 である場合、残余演算は失敗し、プログラムはクラッシュします。
2 番目の残余オペランドが -1 である場合、オーバーフローし得る除算演算を基に残余演算が実装されていると、その残余演算はオーバーフローする可能性があります。
オペランドの 1 つが負である場合、演算の結果は不確定になります。C89 ではモジュロ演算は標準化されていないため、負のオペランドによる結果は処理系定義となります。

こうしたリスクは、攻撃者によってプログラムあるいはターゲット一般へのアクセスに利用される場合があります。

修正方法

モジュロ演算を実行する前に、オペランドの値を検証します。2 番目のオペランドの値が 0 や -1 かどうかをチェックします。両方のオペランドの値が負の値かどうかをチェックします。

例 - 関数の引数によるモジュロ

#include <stdio.h>
extern void print_int(int);

int taintedintmod(void) {
    int userden;
    scanf("%d", &userden);
    int rem =  128%userden; //Noncompliant
    print_int(rem);
    return rem;
}

この例では、関数によってモジュロ演算が入力引数を使用して実行されています。引数は、残余を計算する前に、プログラムをクラッシュさせ得る 0 や -1 などの値についてチェックされていません。

修正 — オペランドの値をチェック

1 つの修正方法として、モジュロ演算を実行する前にオペランドの値をチェックします。次に示す修正例では、モジュロ演算は 2 番目のオペランドが 0 より大きい場合にのみ続行します。

#include<stdio.h>
extern void print_int(int);

int taintedintmod(void) {
    int userden;
    scanf("%d", &userden);
    int rem = 0;
    if (userden > 0 ) { 
        rem = 128 % userden; 
    }
    print_int(rem);
    return rem;
}

チェック情報

グループ: 03.整数 (INT)

バージョン履歴

R2019a で導入

参考

SEI CERT-C++ をチェック (-cert-cpp)

トピック

コーディング規約違反のチェックおよびレビュー

外部の Web サイト

INT32-C

¹ This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.