NNTS.TAINTED
汚染した入力の非 null 終了文字列からのバッファオーバーフロー
C と C++ では、C 文字列または null 終了文字列では、null 文字 (\0) で終了する文字のシーケンスです。C 文字列の長さは、null 文字を検索することで求められます。
チェッカーの NNTS ファミリーは、null 終了しないまたはしない可能性のある文字配列を持つ文字列操作関数を使用するコードを探します。NNTS.TAINTED チェッカーは、ユーザーまたは外部デバイスからの、未検証または汚染した入力データが引き起こす非 null 終了文字列によるバッファオーバーフローを探します。このチェッカーは、バッファオーバーフローに関与する入力データが検証されていないコードへの実行パスにフラグを立てます。
脆弱性とリスク
従来は、null 終了によりセキュリティに関する問題が発生しました。例:
- 文字列に挿入する null 文字は、予期せずにそれを一部省略できます。
- null 文字に十分なスペースが割り当てられていない、または、null を忘れた一般的なバグです
- 多くのプログラムでは、文字列を固定サイズのバッファにコピーする前に長さをチェックせず、長すぎるとバッファオーバーフローが発生します
- null 文字を保存できないということは、間違った関数が使用された場合に問題が発生する可能性のあるさまざまな関数が文字列とバイナリデータを処理する必要があるという意味です
軽減と防止
問題を回避するには、次を実行します。
- パフォーマンスの制約が許せば、特別なコードを追加して文字列バッファの null 終了を検証します
- strncpy のようなバインドされた文字列操作関数に切り替えます
- バッファオーバーラントレースバックに関与するバッファの長さを検査します
脆弱コード例
void TaintedAccess()
{
char src[32];
char dst[48];
read(0, src, sizeof(src));
strcpy(dst, src);
}
関数 'read' は、任意のデータを汚染している可能性がある外部ソース (ファイル) から読み取ります。得られたバッファは、null 終了が保証されていません (ここでは、バッファの静的サイズは問いません)。strcpy が呼び出されると、src の超過範囲の読み取りおよび dst の超過範囲の作成の 2 つの違反が起こります。この場合、NNTS.TAINTED チェッカーは、ユーザーまたは外部デバイスからの未検証入力データが引き起こす非 null 終了文字列によるバッファオーバーフローを 2 つ検出しました。Klocwork は 8 行目の配列 'dst' について次のバッファオーバーフローレポートを生成します:非 null 終了文字列 'src' による未検証のユーザー入力が原因の 'dst' のバッファオーバーフロー。類似したエラーが 8 行目の配列 'src' について報告されます。このコードは、バッファオーバーフローとなり、セキュリティに関するさまざまな重大問題が生じる可能性があります。
関連チェッカー
外部参考資料
- CERT ARR00-C: 配列の仕組みを理解する
- CERT ARR30-C: 範囲外のポインターまたは配列添え字を形成したり使用したりしない
- CERT STR02-C: 複雑なサブシステムに渡すデータは無害化する
- CERT STR50-CPP: 文字列のストレージに文字データと null 終了文字を格納するためのスペースが十分にあることを保証する
- CWE-20: 不適切な入力検証
- CWE-119: メモリバッファの範囲内の操作の不適切な制限
- CWE-125: 範囲外の読み取り
- CWE-170: 不適切な null 終了
- CWE-787: 範囲外の作成
- OWASP A3:2021 インジェクション
- STIG-ID: APP3510 入力検証
- STIG-ID: APP3570 コマンドインジェクションに影響を受けやすいアプリケーション
- STIG-ID: APP3590.1 バッファオーバーフローに脆弱なアプリケーション
セキュリティトレーニング
Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。
拡張機能
このチェッカーは機能を拡張できます。プラットフォームとアプリケーションに固有の情報は、Klocwork knowledge base (ナレッジベース) を利用して追加できます。構成を使用して、バッファ操作を実行するシステム関数のプロパティを記述します。プラットフォーム固有の構成には、標準配布の一部として提供されているものもあります。詳細については、C/C++ 解析のチューニングを参照してください。