このページの内容は最新ではありません。最新版の英語を参照するには、ここをクリックします。

CERT C: Rec.MEM03-C

Clear sensitive information stored in reusable resources

このページをすべて展開する

説明

ルール定義

再利用可能なリソースに保存されている機密情報はクリアします。1

Polyspace 実装

ルール チェッカーは以下の問題をチェックします。

  • 要注意のヒープ メモリが解放前にクリアされていません

  • スタック内にクリアされていない機密データがあります

すべて展開する

問題

要注意のヒープ メモリが解放前にクリアされていませんは、機密データを含んでいる、動的に割り当てられたメモリを検出します。メモリを解放する際に機密データがクリアされていないと、Bug Finder により関数 free での欠陥が報告されます。

リスク

メモリ ゾーンが再割り当てされる場合でも、攻撃者は古いメモリ ゾーンにある機密データを検査できます。

修正方法

free を呼び出す前に、memsetSecureZeroMemory を使用して、機密データをクリアしておきます。

例 - 機密のバッファーが解放されてもクリアされていない
#include <unistd.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <pwd.h>

void sensitiveheapnotcleared(const char * my_user) {
    struct passwd* result, pwd;
    long bufsize = sysconf(_SC_GETPW_R_SIZE_MAX);
    char* buf = (char*) malloc(1024);
    getpwnam_r(my_user, &pwd, buf, bufsize, &result);
    free(buf); //Noncompliant
}

この例では、関数でパスワードのバッファーが使用され、関数の終了前にそのメモリが解放されています。しかし、メモリ内のデータは、free コマンドを使用してもクリアされません。

修正 — データを無効化

1 つの修正方法として、データを上書きして機密情報をクリアします。この例では memset を使用して、データをゼロで上書きしています。

#include <unistd.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <pwd.h>
#include <assert.h>

#define isNull(arr) for(int i=0;i<(sizeof(arr)/sizeof(arr[0]));i++) assert(arr[i]==0)

void sensitiveheapnotcleared(const char * my_user) {
    struct passwd* result, pwd;
    long bufsize = sysconf(_SC_GETPW_R_SIZE_MAX);
    char* buf = (char*) malloc(1024);

    if (buf) {
        getpwnam_r(my_user, &pwd, buf, bufsize, &result);
        memset(buf, 0, (size_t)1024);
        isNull(buf);
        free(buf); 
    }
}
問題

スタック内にクリアされていない機密データがありますは、機密データを含んでいる静的メモリを検出します。関数またはプログラムの終了前に機密データがスタックからクリアされていない場合、Bug Finder により最後の中かっこで欠陥が報告されます。

リスク

パスワードやユーザー情報などの機密情報がスタック内に残っていると、プログラム終了後、攻撃者がその情報にアクセスできるようになります。

修正方法

関数またはプログラムの終了前に、memsetSecureZeroMemory を使用して、機密データを含むメモリ ゾーンをクリアしておきます。

例 - パスワード情報の静的バッファー
#include <unistd.h>
#include <sys/types.h>
#include <pwd.h>

void bug_sensitivestacknotcleared(const char * my_user) {
    struct passwd* result, pwd;
    long bufsize = sysconf(_SC_GETPW_R_SIZE_MAX);
    char buf[1024] = "";
    getpwnam_r(my_user, &pwd, buf, bufsize, &result);
}  //Noncompliant

この例では、静的バッファーがパスワード情報で埋められています。プログラムは、その終了時にスタック メモリを解放します。しかし、データは依然としてメモリからアクセス可能です。

修正 — メモリをクリア

1 つの修正方法として、関数の終了前にメモリを上書きします。この例では、memset を使用してバッファー メモリからデータをクリアしています。

#include <unistd.h>
#include <string.h>
#include <sys/types.h>
#include <pwd.h>
#include <assert.h>

#define isNull(arr) for(int i=0; i<(sizeof(arr)/sizeof(arr[0])); i++) assert(arr[i]==0)

void corrected_sensitivestacknotcleared(const char * my_user) {
    struct passwd* result, pwd;
    long bufsize = sysconf(_SC_GETPW_R_SIZE_MAX);
    char buf[1024] = "";
    getpwnam_r(my_user, &pwd, buf, bufsize, &result);
    memset(buf, 0, (size_t)1024);
    isNull(buf);
}

チェック情報

グループ: Rec.08.メモリ管理 (MEM)

バージョン履歴

R2019a で導入

参考

トピック

外部の Web サイト

1 This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.