CL.FFM.ASSIGN

演算子の欠落による解放されたメモリの解放

クラスレベルのチェッカーは有効な C++ のための Scott Meyer 規則クラス構築に基づいて推奨を通知します。

CL.FFM.ASSIGN は Scott Meyer の 11 項「動的割り当て済みメモリを持つクラス用のコピーコンストラクタと代入演算子の宣言」に基づくものです。このチェッカーは、動的割り当て済みデータメンバーを含むが、代入演算子が定義されていないクラスを検出します。

代入演算子が実装されていない場合、C++ コンパイラは必要に応じて代入演算子を自動生成します。しかし、そのコンパイラが提供する実装は常に形式的なものにすぎません。

データメンバーを管理するようにコピーが明示的にコード化されていない場合、オブジェクトをコピーすると動的に割り当てられる単一のデータメンバーを参照する 2 つのオブジェクトができます。ポインターが値によって単純にコピーされる形式的なコピー操作では、オブジェクトのペアが生成され、その両方が同じ基底のヒープメモリをポイントします。そのヒープメモリ上で実行するどの操作も、その操作への参照を維持する両方のオブジェクトに影響し、すべてのタイプのプログラムにおいて予期しない結果をもたらす可能性があります。

この特定のチェッカーが参照する状況では、すでに解放されたメモリを解放する可能性があり、これは共通の基底の割り当てを共有している、そのような 2 つのオブジェクトが範囲外になる場合に発生します。

脆弱性とリスク

この状況では、通常は、範囲外になる最初のオブジェクトが、現在他のオブジェクトと共有されているバッファを含めて、関連するすべてのヒープメモリを解放します。2 番目のオブジェクトが範囲外になると、独自のメモリリソースと見なしたメモリを解放しようとする結果、すでに解放しているメモリにアクセスすることになり、最悪の場合、ヒープを破壊する可能性があります。

軽減と防止

この問題に対処するには、動的に割り当てられたデータメンバーを含むクラスに対しては常に代入演算子を明示的に実装し、そしてこの代入演算子がこれらのデータメンバーを実質的にコピーするようにします。

脆弱コード例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
    #include <iostream>
    using namespace std;
    class C{
      char *data;
      C(const C&){}
    public: 
      C(){  data = new char[10]; }
      ~C() {
        cout << "Calling delete for " << (void *)data << endl;
        delete[] data;
      }
    };
    int main(){
      C c1;
      C c2;
      c1 = c2;
      return 1;
    }


Output: 

Calling delete for 0x602030
Calling delete for 0x602030

この例では、クラス 'C' は 'C::data' に対して動的メモリ割り当てを使用していますが、演算子 = を定義していません。その結果、関数 'main()' の 16 行目が実行されると、'c1.data' と'c2.data' は両方とも同じ値になり、破壊されるときにそれぞれが演算子 'delete[ ]' を呼び出し、同じポインターが 2 回削除されることになります。この場合は、CL.FFM.ASSIGN は演算子 = の実装による、解放されたメモリがもう一度解放される典型的な例を検出しました。

修正コード例

この問題を修正するには、演算子 = を定義することが必要です。状況により、演算子 = の別の実装も使用できます。

• 新しいメモリの割り当てが必要な場合は、演算子 = の実装では、自身をコピーしない、古いメモリを解放する、新しいメモリを割り当てる、データをコピーする、をチェックする必要があります。

1
2
3
4
5
6
7
8
9
10
11
    class C{
// ...
      C& operator=(const C& src){
        if (&src == this) return *this;
        delete[] data;
        data = new char[10];
        memcpy(data, src.data, 10);
        return *this;
      }
// ...
   };

• 以前の実装では、破壊されたデータと割り当てられたデータのサイズが同じであるため、不要なヒープメモリ操作が実行されます。そのような場合、古いメモリは再利用できます。

1
2
3
4
5
6
7
8
9
    class C{
// ...
      C& operator=(const C& src){
        if (&src == this) return *this;
        memcpy(data, src.data, 10);
        return *this;
      }
// ...
    };

• クラスインスタンスのコピーを想定しない場合、演算子 = を private として定義する必要があります。この場合、コピーしようとするとコンパイラはエラーを生成します。

1
2
3
4
5
6
    class C{
// ...
    private: 
      C& operator=(const C&){ return *this;}
// ...
    };

関連チェッカー

• CL.ASSIGN.RETURN_CONST
• CL.ASSIGN.NON_CONST_ARG
• CL.ASSIGN.VOID
• CL.FFM.ASSIGN
• CL.FFM.COPY
• CL.FMM
• CL.MLK
• CL.MLK.VIRTUAL
• CL.SELF-ASSIGN
• CL.SHALLOW.ASSIGN
• CL.SHALLOW.COPY

外部参考資料

• CERT EXP54-CPP: 存続期間が過ぎたオブジェクトにアクセスしない
• CERT MEM31-C: 動的に割り当てられたメモリが不要になったら解放する
• CERT MEM51-CPP: 動的に割り当てられたリソースは割り当てを適切に解除する
• CWE-416: 解放後の使用
• CWE-672: 期限切れまたはリリース後のリソースでの演算
• 有効な C++ のための Scott Meyer 規則

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Use After Free (解放後の使用)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、C/C++ 解析のチューニングを参照してください。