CL.SHALLOW.ASSIGN

代入演算子での形式的なコピーによる解放されたメモリの解放

これは、演算子 = での形式的なコピーに起因するクラスデストラクタによるヒープメモリの二重解放の可能性を通知するクラスレベル (CL) のチェッカーです。Klocwork は、クラスデストラクタが 1 つ以上のデータメンバーによってポイントされる動的メモリの解放を実行し、代入演算子でこれらのポインターの形式的なコピーのみを実行する場合に、CL.SHALLOW.ASSIGN をレポートします。

脆弱性とリスク

形式的なコピーの場合、代入演算子の呼び出しにより、同じ動的メモリをポイントするデータメンバーを持つ 2 つのオブジェクトが作成されます。適切なリファレンスカウンターデバイスがない場合、最初のオブジェクトが範囲外になると、クラスデストラクタは 2 つのオブジェクト間で共有されるメモリを解放します。2 番目のオブジェクトの該当するデータメンバーは、この場合、削除されたメモリ場所をポイントします。2 番目のオブジェクトが範囲外になると、そのデストラクタはこのメモリを再度解放しようとします。これはアプリケーションのクラッシュやヒープメモリの破壊といった問題につながる可能性があります。

脆弱コード例 1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
    struct D {
        /* omitted for brevity */
    };

    class C {
    public: 
        C();
        ~C() {
            delete d;
       }
       C& operator=(const C& rhs) {
           d = rhs.d;    // shallow copy
           return *this;
       }
   private: 
       C(const C&);
       D* d;
   };  

この例では、メンバーポインター d の形式的なコピーが演算子 = にて実行されます。対応するヒープメモリはデストラクタ ~C() で解放されます。Klocwork はこの潜在的に危険な状況に対して CL.SHALLOW.ASSIGN のフラグを立てます。

修正コード例 1

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
    struct D {
       /* omitted for brevity */
       D(const D&);
    };

    class C {
    public: 
        C();
        ~C() {
           delete d;
       }
       C& operator=(const C& rhs) {
           d = new D(*rsh.d);
           return *this;
       }
   private: 
       C(const C&);
       D* d;
   }; 

修正例 1 では演算子 = で実質的なコピーが実行されます。この結果、2 つのオブジェクトのデストラクタが呼び出される場合に二重解放は起こりません。

関連チェッカー

• CL.SHALLOW.COPY
• CL.FFM.ASSIGN
• CL.FFM.COPY
• CL.MLK.ASSIGN

外部参考資料

• CERT MEM31-C: 動的に割り当てられたメモリが不要になったら解放する
• CERT MEM51-CPP: 動的に割り当てられたリソースは割り当てを適切に解除する
• CWE-416: 解放後の使用
• CWE-672: 期限切れまたはリリース後のリソースでの演算

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Use After Free (解放後の使用)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、C/C++ 解析のチューニングを参照してください。