SV.TAINTED.LOOP_BOUND

ループ境界として使用される未検証の入力

入力がユーザーまたは外部環境から受け入れられるときは常に、入力のタイプ、長さ、書式、および範囲を検証してから使用する必要があります。適切に検証されるまでは、そのデータは汚染していると言われます。SV.TAINTED ファミリーチェッカーは、コードでの汚染データの使用箇所を探します。

未検証引数がループ境界として使用されると、SV.TAINTED.LOOP_BOUND エラーが報告されます。

脆弱性とリスク

コードへの入力が適切に検証されないと、攻撃者は入力をアプリケーションが予期しない形で作成することができます。意図しない入力を受け取ると、制御フローの改変、任意リソースの制御、および任意のコードの実行につながる可能性があります。この種のチャンスがある場合、攻撃者は次のことを行えます。

• 予期しない値を提供し、プログラムクラッシュを引き起こします。
• 過剰なリソース消費を引き起こします。
• 機密データを読み取ります。
• 悪意のある入力を使用して、データを変更したり制御フローを改めたりします。
• 任意のコマンドを実行します。

脆弱コード例

1
2
3
4
5
6
7
8
9
  void iterateFoo()
   {
     unsigned num;
     int i;
     scanf("%u",&num);
     for (i = 0; i < num; i++){
       foo();
     }
    }

Klocwork は 6 行目で指摘レポートを生成し、未検証の整数値 'num' が 5 行目での 'scanf' の呼び出しを通じて渡され、6 行目でのループ条件に使用できることを示します。この場合、汚染されている可能性のあるデータがループ境界として使用されます。これは、悪意のあるユーザーによって悪用される可能性があります。

修正コード例

1
2
3
4
5
6
7
8
9
10
  void iterateFoo()
   {
     unsigned num;
     int i;
     scanf("%u",&num);
     if (num > 20) return;
     for (i = 0; i < num; i++){
       foo();
     }
   }

修正コードでは、整数 'num' が 6 行目でチェックされてから、ループ条件として使用されます。

関連チェッカー

• ABV.TAINTED
• NNTS.TAINTED
• SV.TAINTED.ALLOC_SIZE
• SV.TAINTED.CALL.INDEX_ACCESS
• SV.TAINTED.CALL.LOOP_BOUND
• SV.TAINTED.FMTSTR
• SV.TAINTED.INDEX_ACCESS
• SV.TAINTED.INJECTION

外部参考資料

• CERT ARR00-C: 配列の仕組みを理解する
• CERT ARR30-C: 範囲外のポインターまたは配列添え字を形成したり使用したりしない
• CERT INT04-C: 汚染された情報源から取得した整数値に制限を強制する
• CWE-20: 不適切な入力検証
• CWE-606: ループ条件のチェックされない入力
• CWE-896: なし
• OWASP A3:2021 インジェクション
• STIG-ID: APP3510 不十分な入力検証