SV.FMT_STR.BAD_SCAN_FORMAT

書式文字列の幅フィールドの欠落

文字列長のチェックを適切に行わないと、悪意のあるユーザーが悪用できるバッファオーバーフローの状況となります。SV.FMT_STR.BAD_SCAN_FORMAT チェッカーは、書式文字列で省略された幅指定 (%s) のインスタンスを検出します。

脆弱性とリスク

文字列幅のチェックに関する指摘は、悪用できる脆弱性をもたらす場合があります。最も一般的なのは、ワイド文字またはマルチバイト文字列が半角文字として正しく計算されていない場合や、単一の文字列の通常幅とワイド文字列の関数を混合した場合です。いずれの場合も、悪用できるバッファオーバーフローの状態となることがあります。

軽減と防止

このタイプのエラーを回避するには、次の操作を実行します。

• 文字列の単位文字の長さを確認します
• 出力先のバッファが文字列のサイズを処理できることを確認します
• 文字列の幅を動的に計算します

脆弱コード例

1
2
3
4
  void main() {
      char s[16];
      scanf("%s",s);
 }

Klockwork は 3 行目で、文字列の幅がパーセント指定にないため、エラーにフラグを立てます。文字列の幅フィールドがないと、悪意のあるユーザーにより悪用される可能性があるバッファオーバーフローの状態となります。

修正コード例

1
2
3
4
  void main() {
      char s[16];
      scanf("%15s",s);
 }

修正されたコードでは、出力先バッファがオーバーフローしないことを確認して、正しい文字列の幅を提供します。

関連チェッカー

• SV.FMT_STR.SCAN_FORMAT_MISMATCH.BAD
• SV.FMT_STR.SCAN_FORMAT_MISMATCH.UNDESIRED
• SV.FMT_STR.SCAN_IMPROP_LENGTH
• SV.FMT_STR.SCAN_PARAMS_WRONGNUM.FEW
• SV.FMT_STR.SCAN_PARAMS_WRONGNUM.MANY
• SV.FMT_STR.UNKWN_FORMAT.SCAN

外部参考資料

• CERT STR31-C: 文字列のストレージに文字データと null 終了文字を格納するためのスペースが十分にあることを保証する
• CWE-119: メモリバッファの範囲内の操作の不適切な制限
• CWE-125: 範囲外の読み取り
• CWE-135: マルチバイト文字列長の不正確な計算
• CWE-686: 引数型が不正確な関数呼び出し
• CWE-787: 範囲外の作成
• STIG-ID:APP3560 アプリケーションに含まれる書式文字列の脆弱性
• STIG-ID:APP3590.2 バッファオーバーフローに脆弱なアプリケーション

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Buffer Overflow (バッファオーバーフロー)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます