SV.FMT_STR.SCAN_FORMAT_MISMATCH.BAD

规范和参数不匹配

扫描函数参数可以用作各类项目的指针，因此这些项目占用的内存量会有所不同。如果扫描函数参数指向的内存项目小于对应的格式字符串规范所预期的大小，则可能产生漏洞。如果代码中扫描参数指向的内存项目的类型大小与对应的格式字符串规范不匹配，则 SV.FMT_STR.SCAN_FORMAT_MISMATCH.BAD 检查器会标记出相关代码。

漏洞与风险

不匹配的参数和格式字符串规范会造成内存访问冲突，从而可能导致意外的程序执行结果。有可能会出现未定义的行为和异常的程序终止。

漏洞代码示例

1
2
3
4
5
6
7
8
9
   # include <string>
   # include <stdio.h>

   std::string scan_int() {
     int length;
     std::string str;
     scanf("%lf", &length); // defect
     scanf("%s\n", str);    // defect
   }

Klocwork 标记了第 7 行，因为 %lf 规范与 int 类型的参数不匹配。double 类型（%lf 规范所预期的类型）通常所需的内存量总是大于 int 类型（实际提供的指针所指向的类型）所需的内存量。当实际上分配的是 int 类型所需的内存量，而又尝试访问 double 类型所需的内存量时，则可能发生内存访问冲突。

标记了第 8 行，因为预期为 %s 规范提供 C 字符串，而实际上提供的却是对象。当尝试将字节写入由对象占用的内存时，则可能导致内存访问冲突。

修正代码示例

1
2
3
4
5
6
7
8
9
10
   # include <string>
   # include <stdio.h>

   std::string scan_int() {
     int length;
     char *str;
     scanf("%d", &length); 
     str = (char *)malloc(length + 1);
     scanf("%s\n", str);   
  }

在经修正的代码的第 7 行中，使用正确的格式说明符 %d 打印整数值。第 9 行中使用的是初始分配的 C 字符串，而不是 std::string。

相关检查器

• SV.FMT_STR.PRINT_FORMAT_MISMATCH.BAD
• SV.FMT_STR.PRINT_FORMAT_MISMATCH.UNDESIRED
• SV.FMT_STR.PRINT_IMPROP_LENGTH
• SV.FMT_STR.PRINT_PARAMS_WRONGNUM.FEW
• SV.FMT_STR.PRINT_PARAMS_WRONGNUM.MANY
• SV.FMT_STR.SCAN_FORMAT_MISMATCH.UNDESIRED
• SV.FMT_STR.SCAN_IMPROP_LENGTH
• SV.FMT_STR.SCAN_PARAMS_WRONGNUM.FEW
• SV.FMT_STR.SCAN_PARAMS_WRONGNUM.MANY
• SV.FMT_STR.UNKWN_FORMAT
• SV.FMT_STR.UNKWN_FORMAT.SCAN

外部指导

• CERT DCL11-C：了解与可变参数函数相关的类型问题
• CERT FIO47-C：使用有效格式的字符串
• CWE-686：使用错误参数类型的函数调用
• STIG-ID：APP3560 应用程序包含格式字符串漏洞