MISRA C:2023 Dir 4.14

The validity of values received from external sources shall be checked

R2024a 以降

このページをすべて展開する

説明

命令の定義

The validity of values received from external sources shall be checked. ¹

This rule comes from MISRA C™:2012 Amendment 1.

根拠

外部ソースから得る値は、エラーや攻撃者による意図的な変更が原因で無効なものになる可能性があります。データを使用する前に、そのデータの妥当性をチェックしなければなりません。

次に例を示します。

外部入力を配列インデックスとして使用する前に、その入力が配列の値域エラーの原因になる可能性があるかどうかをチェックしなければなりません。
外部変数をループの制御に使用する前に、その変数が無限ループになる可能性があるかどうかをチェックしなければなりません。

Polyspace 実装

ルールチェッカーは次の問題を検出します。

汚染されたインデックスによる配列へのアクセス。
外部制御されるパスから実行されたコマンド。
外部制御されるコマンドの実行。
外部で制御される要素を使用したホストの変更。
外部制御されるパスから読み込まれたライブラリ。
汚染された値で制限されたループ。
汚染されたサイズでのメモリの割り当て。
汚染されたオフセットによるポインターのデリファレンス。
汚染された除算演算子。
汚染されたモジュロ演算子。
汚染された NULL 文字列または非 NULL 終端文字列。
汚染された符号変化の変換。
可変長配列の汚染されたサイズ。
汚染された文字列形式。
外部制御される環境変数を使用しています。
汚染されたポインターの使用。
null 終端文字列が必要な場合での、null 終端文字のない外部で取得された文字列の使用。このような使用は、未定義の動作を引き起こす可能性があります。たとえば、このコードでは関数 printf() には null 終端文字を含む文字列が必要です。null 文字で終端しない文字配列 str を使用すると、未定義の動作となります。
```
    char str[10];
    scanf("%10c", str);
    printf("%s",str);//Null terminated string expected
```
外部で取得された不確定文字列の使用。たとえば、文字列の値を設定するために fgets() ファミリ関数を呼び出したが、この関数呼び出しが失敗した場合、文字列が不確定になる可能性があります。
```
    char buffer[10];
    fgets(buffer, sizeof(buffer), stdin); //buffer is indeterminate if fgets() fails
    printf("%s",buffer); // Possible undefined behvior
```
関数 printf() には null 終端文字を含む文字列が必要であるため、buffer をこの関数で使用すると、未定義の動作を引き起こす可能性があります。

トラブルシューティング

ルール違反を想定していてもその違反が表示されない場合、コーディング規約違反が想定どおりに表示されない理由の診断を参照します。

例

すべて展開する

外部値の妥当性をチェックしない

#include <stdio.h>

void f1(char from_user[])
{
        char input [128];
        (void) sscanf (from_user, "%128c", input);
        (void) sprintf ("%s", input);/*Noncompliant*/
}

この例の sscanf ステートメントは、ユーザー入力が確実に null 終端されていることをチェックしていないため、準拠していません。文字列を出力する次の sprintf ステートメントは、配列の値域エラー (バッファーオーバーラン) につながる可能性があります。

無効な外部入力文字列の出力

この例では、関数の scanf() と fgets() が 2 つの char 配列を読み取ってから、printf() を呼び出してこれらの配列を出力します。入力文字列は外部から取得されるため、不確定であるか、または null 終端文字が含まれていない可能性があります。printf() を使用してこのような文字列を出力すると、未定義の動作が発生する可能性があります。Polyspace^® はこのルールに対する違反を報告します。


#include <stdio.h>
void echo_in() {
       //...
    char buffer[10];
    scanf("%10c", buffer);
	//...
    printf("%s", buffer); //Noncompliant - buffer is not null-terminated
	//...
    fgets(buffer, sizeof(buffer), stdin);
      //...
    printf("%s",buffer); //Noncompliant - buffer might be indeterminate
}

チェック情報

グループ: Code design

カテゴリ: 必要

AGC カテゴリ: 必要

バージョン履歴

R2024a で導入

参考

MISRA C:2023 のチェック (-misra-c-2023)

トピック

コーディング規約違反のチェックおよびレビュー

The MISRA coding standards referenced in the Polyspace Bug Finder™ documentation are from the following MISRA standards:

MISRA C:2004
MISRA C:2012
MISRA C:2023
MISRA C++:2008
MISRA C++:2023

MISRA and MISRA C are registered trademarks of The MISRA Consortium Limited 2021.