CERT C: Rule FIO45-C

Avoid TOCTOU race conditions while accessing files

このページをすべて展開する

説明

ルール定義

ファイルアクセス時の TOCTOU 競合状態を避けます。¹

Polyspace 実装

ルールチェッカーは、"チェック時と使用時 (TOCTOU) の間のファイルアクセス" をチェックします。

例

すべて展開する

チェック時と使用時 (TOCTOU) の間のファイルアクセス

問題

チェック時と使用時 (TOCTOU) の間のファイルアクセスでは、ファイルやフォルダーの存在のチェックと使用における、競合状態の問題を検出します。

リスク

攻撃者は、ファイルのチェックとファイルの使用の間に、そのファイルにアクセスして操作できます。攻撃者はシンボリックリンクが指す場所を変更できるため、シンボリックリンクは特にリスクが大きくなります。

修正方法

ファイルを使用する前は、そのステータスをチェックしないようにします。代わりに、ファイルを使用してから、その結果をチェックします。

この違反を正当化する場合は、結果またはコードにコメントを追加し、改めてレビューされないようにします。詳細は、以下を参照してください。

Polyspace ユーザーインターフェイスでのバグ修正または正当化による結果への対処(Polyspace ユーザーインターフェイスで結果をレビューする場合)
Polyspace Access でのバグ修正または正当化による結果への対処 (Polyspace Access)(Web ブラウザーで結果をレビューする場合)。
コードへの注釈付けと既知の結果または許容可能な結果の非表示 (IDE で結果をレビューする場合)

例 – ファイルの存在チェックとファイルを開く操作の間で発生する可能性がある競合状態

#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>

extern void print_tofile(FILE* f);

void toctou(char * log_path) {
    if (access(log_path, W_OK)==0) {
        FILE* f = fopen(log_path, "w"); //Noncompliant
        if (f) {
            print_tofile(f);
            fclose(f);
        }
    }
}

この例では、ファイルを開いて使用する前に、ファイルが存在するかどうかを関数でチェックしています。しかし攻撃者は、関数の 1 行目と 2 行目の間でファイルを変更できます。

修正 — 排他モードでファイルを開く (POSIX)

POSIX^® では、フラグ O_CREAT および O_EXCL を設定した open() 関数を使用すると、対象のファイルが既に存在する場合、ファイルを開く操作が失敗する可能性があります。ファイルに対してさらにアクションを実行する前に、エラーの有無を確認できます。

#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>

extern void print_tofile(FILE* f);

void writeToFile(char * log_path) {
    int fd = open(log_path, O_CREAT | O_EXCL | O_WRONLY);
    if (fd!=-1) {
        FILE *f = fdopen(fd, "w");
        if (f) {
            print_tofile(f);
            fclose(f);
        }
    }
}

修正 — 排他モードでファイルを開く (C11)

C11 以降、関数 fopen() または fopen_s() を使用してファイルを開く際は、アクセスモード指定子に文字 x を含めることができます。対象のファイルが既に存在する場合、このアクセスモード指定子により、ファイルを開く操作が失敗します。ファイルに対してさらにアクションを実行する前に、エラーの有無を確認できます。

#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>

extern void print_tofile(FILE* f);

void writeToFile(char * log_path) {
        FILE* f = fopen_s(log_path, "wx");
        if (f == NULL) {
            print_tofile(f);
            fclose(f);
        }
}

チェック情報

グループ: Rule 09.入出力 (FIO)

バージョン履歴

R2019a で導入

参考

SEI CERT-C をチェック (-cert-c)

トピック

コーディング規約違反のチェックおよびレビュー

外部の Web サイト

FIO45-C

¹ This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.