CERT C: Rec.MEM05-C

Avoid large stack allocations

このページをすべて展開する

説明

ルール定義

大きなスタック割り当てを避けます。¹

Polyspace 実装

ルールチェッカーは以下の問題をチェックします。

関数によるそれ自身の直接的または間接的な呼び出し。
可変長配列が正のサイズをもっていません。
可変長配列の汚染されたサイズ。

チェッカーの拡張

既定の Bug Finder 解析では、現在の解析境界の外部からの特定の入力に関する "可変長配列の汚染されたサイズ" 問題にフラグを設定しない場合があります。Polyspace 解析での汚染のソースを参照してください。Polyspace 解析の現在のスコープ以外から発生したすべてのデータを汚染されたものと見なすには、コマンドラインオプション [-consider-analysis-perimeter-as-trust-boundary] を使用します。

例

すべて展開する

関数によるそれ自身の直接的または間接的な呼び出し

問題

この問題は、コードに含まれている関数がその関数自体を直接的または間接的に呼び出す場合に発生します。

リスク

関数に対してローカルな変数は呼び出しスタック内に格納されます。関数がそれ自身を直接的または間接的に複数回呼び出す場合、使用可能なスタック領域を超過し、深刻な不具合を発生させる可能性があります。再帰が厳密に制御されていない限り、必要な最大スタック領域を決めるのは困難です。

例 - 直接再帰と間接再帰

void foo1( void ) {     /* Non-compliant */
          /*- Indirect recursion foo1->foo2->foo1... */
    foo2();
    foo1();   /* Non-compliant - Direct recursion */
}

void foo2( void ) {/*Noncompliant*/
         /* Indirect Recursion - Foo2->foo1->foo2*/
    foo1();
}

この例では、以下の原因によりルールに違反します。

直接再帰 foo1 → foo1。
間接再帰 foo1 → foo2 → foo1。
間接再帰 foo2 → foo1 → foo2。

可変長配列が正のサイズをもっていません

問題

"可変長配列が正のサイズをもっていません" は、可変長配列のサイズがゼロか負である場合に発生します。

リスク

可変長配列のサイズがゼロか負である場合、スタックオーバーフローなど、予期しない動作が発生することがあります。

修正方法

可変長配列を関数のローカル変数として宣言する際に、次のようにします。

関数パラメーターを配列サイズとして使用する場合は、そのパラメーターが正であることをチェックする。
関数パラメーターでの計算結果を配列サイズとして使用する場合は、その結果が正であることをチェックする。

正の値かどうかのテストは、関数呼び出しの前か、関数本体の配列の宣言の前に配置できます。

例 - 非正の配列サイズ

int input(void);

void add_scalar(int n, int m) {
    int r=0;
    int arr[m][n]; //Noncompliant
    for (int i=0; i<m; i++) {
        for (int j=0; j<n; j++) {
            arr[i][j] = input();
            r += arr[i][j];
        }
    }
}

void main() {
    add_scalar(2,2);
    add_scalar(-1,2);
    add_scalar(2,0);
}

この例では、add_scalar の 2 番目と 3 番目の呼び出しにより、arr のサイズが負やゼロになっています。

修正 — 配列サイズを正にする

1 つの修正方法として、結果が非正の配列サイズとなる呼び出しを修正または削除します。

可変長配列の汚染されたサイズ

問題

可変長配列の汚染されたサイズでは、セキュリティで保護されないソースに由来するサイズの可変長配列 (VLA) を検出します。

リスク

攻撃者が VLA のサイズを予期しない値に変更した場合、プログラムのクラッシュや予期しない動作の原因となることがあります。

サイズが正でない場合、VLA の動作は未定義となります。プログラムは想定どおりには実行されません。

サイズが無制限の場合、VLA はメモリ枯渇やスタックオーバーフローを引き起こすことがあります。

修正方法

VLA のサイズを検証して、正であり最大値より小さいことを確認します。

例 — VLA のサイズとして使用されるユーザー入力引数

#include<stdio.h>
#inclule<stdlib.h>
#define LIM 40

long squaredSum(int size) {

	int tabvla[size]; //Noncompliant
	long res = 0;
	for (int i=0 ; i<LIM-1 ; ++i) {
		tabvla[i] = i*i;
		res += tabvla[i];
	}
	return res;
}
int main(){
	int size;
	scanf("%d",&size);
	//...
	long result = squaredSum(size);
	//...
	return 0;
}

この例では、可変長配列のサイズが入力引数に基づいています。この入力引数の値はチェックされていないため、サイズが負になるか大きすぎる可能性があります。

修正 — VLA のサイズをチェック

1 つの修正方法として、可変長配列を作成する前にサイズ変数をチェックします。この例では、VLA を作成する前に、サイズが 10 より大きく 100 より小さいかどうかをチェックしています。

enum {
    SIZE10  =  10,
    SIZE100 = 100,
    SIZE128 = 128
};

int taintedvlasize(int size) {
    int res = 0;
    if (size>SIZE10 && size<SIZE100) {
        int tabvla[size]; 
        for (int i=0 ; i<SIZE10 ; ++i) {
            tabvla[i] = i*i;
            res += tabvla[i];
        }
    }
    return res;
}

チェック情報

グループ: Rec.08.メモリ管理 (MEM)

バージョン履歴

R2019a で導入

参考

SEI CERT-C をチェック (-cert-c)

トピック

コーディング規約違反のチェックおよびレビュー

外部の Web サイト

MEM05-C

¹ This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.