このページの内容は最新ではありません。最新版の英語を参照するには、ここをクリックします。

CERT C: Rec.MEM04-C

Beware of zero-length allocations

このページをすべて展開する

説明

ルール定義

長さゼロの割り当てに注意します。1

Polyspace 実装

ルール チェッカーは以下の問題をチェックします。

  • 長さが 0 のメモリ割り当て

  • 可変長配列が正のサイズをもっていません

  • 可変長配列の汚染されたサイズ

チェッカーの拡張

既定の Bug Finder 解析では、現在の解析境界の外部からの特定の入力に関する "可変長配列の汚染されたサイズ" 問題にフラグを設定しない場合があります。Polyspace 解析での汚染のソースを参照してください。Polyspace 解析の現在のスコープ以外から発生したすべてのデータを汚染されたものと見なすには、コマンド ライン オプション [-consider-analysis-perimeter-as-trust-boundary] を使用します。

すべて展開する

問題

長さが 0 のメモリ割り当ては、malloccalloc などのメモリ割り当て関数で、値が 0 である可能性がある size 引数 (または要素数) が取得された場合に発生します。

リスク

C 標準 (C11、第 7.22.3 節) によると、サイズが 0 のメモリがメモリ割り当て関数から要求された場合の動作は処理系定義になります。処理系によっては関数が NULL を返し、NULL に対する既存のガードが、長さ 0 の割り当てから保護するのに十分な場合があります。そうでない場合は、アクセスすべきではないメモリ領域を関数が返す可能性があります。この領域をデリファレンスしようとすると、未定義の動作が発生します。

修正方法

malloc に渡されるサイズ、または calloc に渡される要素のサイズと数が 0 でないかどうかをチェックします。

例 – malloc へのサイズが 0 である可能性がある引数
#include <stdlib.h>

void  func(unsigned int size) {
    int *list = (int *)malloc(size);//Noncompliant
    if (list == NULL) {
      /* Handle allocation error */
    }
    else {
    /* Continue processing list */
    }
}

この例では、変数 size に 0 の値が含まれており、長さが 0 のメモリ割り当てが発生する可能性があります。

修正 — 変数を使用する前にサイズが 0 でないかどうかをチェックする

関数 malloc への size 引数として使用する前に外部入力の値が 0 でないかを検証します。

#include <stdlib.h>

void  func(unsigned int size) {
    if(size == 0) {
        /* Handle zero size error */
    }
    else {
        int *list = (int *)malloc(size);
        if (list == NULL) {
          /* Handle allocation error */
        }
        else {
          /* Continue processing list */
        }
    }
}
問題

"可変長配列が正のサイズをもっていません" は、可変長配列のサイズがゼロか負である場合に発生します。

リスク

可変長配列のサイズがゼロか負である場合、スタック オーバーフローなど、予期しない動作が発生することがあります。

修正方法

可変長配列を関数のローカル変数として宣言する際に、次のようにします。

  • 関数パラメーターを配列サイズとして使用する場合は、そのパラメーターが正であることをチェックする。

  • 関数パラメーターでの計算結果を配列サイズとして使用する場合は、その結果が正であることをチェックする。

正の値かどうかのテストは、関数呼び出しの前か、関数本体の配列の宣言の前に配置できます。

例 - 非正の配列サイズ
int input(void);

void add_scalar(int n, int m) {
    int r=0;
    int arr[m][n]; //Noncompliant
    for (int i=0; i<m; i++) {
        for (int j=0; j<n; j++) {
            arr[i][j] = input();
            r += arr[i][j];
        }
    }
}

void main() {
    add_scalar(2,2);
    add_scalar(-1,2);
    add_scalar(2,0);
}

この例では、add_scalar の 2 番目と 3 番目の呼び出しにより、arr のサイズが負やゼロになっています。

修正 — 配列サイズを正にする

1 つの修正方法として、結果が非正の配列サイズとなる呼び出しを修正または削除します。

問題

可変長配列の汚染されたサイズでは、セキュリティで保護されないソースに由来するサイズの可変長配列 (VLA) を検出します。

リスク

攻撃者が VLA のサイズを予期しない値に変更した場合、プログラムのクラッシュや予期しない動作の原因となることがあります。

サイズが正でない場合、VLA の動作は未定義となります。プログラムは想定どおりには実行されません。

サイズが無制限の場合、VLA はメモリ枯渇やスタック オーバーフローを引き起こすことがあります。

修正方法

VLA のサイズを検証して、正であり最大値より小さいことを確認します。

例 - VLA のサイズとして使用されるユーザー入力
#include<stdio.h>
#inclule<stdlib.h>
#define LIM 40

long squaredSum(int size) {

	int tabvla[size]; //Noncompliant
	long res = 0;
	for (int i=0 ; i<LIM-1 ; ++i) {
		tabvla[i] = i*i;
		res += tabvla[i];
	}
	return res;
}
int main(){
	int size;
	scanf("%d",&size);
	//...
	long result = squaredSum(size);
	//...
	return 0;
}

この例では、可変長配列のサイズが入力引数に基づいています。この入力引数の値はチェックされていないため、サイズが負になるか大きすぎる可能性があります。

修正 — VLA のサイズをチェック

1 つの修正方法として、可変長配列を作成する前にサイズ変数をチェックします。この例では、VLA を作成する前に、サイズが 0 より大きく 40 より小さいかどうかをチェックしています。

#include <stdio.h>
#include <stdlib.h>
#define LIM 40

long squaredSum(int size) {
	long res = 0;
	if (size>0 && size<LIM){
		int tabvla[size];
		for (int i=0 ; i<size || i<LIM-1 ; ++i) {
			tabvla[i] = i*i;
			res += tabvla[i];
		}
	}else{
		res = -1;
	}
	return res;
}
int main(){
	int size;
	scanf("%d",&size);
	//...
	long result = squaredSum(size);
	//...
	return 0;
}

チェック情報

グループ: Rec.08.メモリ管理 (MEM)

バージョン履歴

R2019a で導入

参考

トピック

外部の Web サイト

1 This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.