NNTS.MUST

非 null 終了文字列からのバッファオーバーフロー

C と C++ では、C 文字列または null 終了文字列では、null 文字 (\0) で終了する文字のシーケンスです。C 文字列の長さは、null 文字を検索することで求められます。

チェッカーの NNTS ファミリーは、null 終了しないまたはしない可能性のある文字配列を持つ文字列操作関数を使用するコードを探します。NNTS.MUST チェッカーは、文字配列が null 終了されていない文字列操作関数を使用して、コードを探します。

脆弱性とリスク

従来は、null 終了によりセキュリティに関する問題が発生しました。例:

• 文字列に挿入する null 文字は、予期せずにそれを一部省略できます。
• null 文字に十分なスペースが割り当てられていない、または、null を忘れた一般的なバグです
• 多くのプログラムでは、文字列を固定サイズのバッファにコピーする前に長さをチェックせず、長すぎるとバッファオーバーフローが発生します
• null 文字を保存できないということは、間違った関数が使用された場合に問題が発生する可能性のあるさまざまな関数が文字列とバイナリデータを処理する必要があるという意味です

軽減と防止

問題を回避するには、次を実行します。

• パフォーマンスの制約が許せば、特別なコードを追加して文字列バッファの null 終了を検証します
• strncpy のようなバインドされた文字列操作関数に切り替えます
• バッファオーバーラントレースバックに関与するバッファの長さを検査します

脆弱コード例

1
2
3
4
5
6
7
8
9
10
11
12
  #include <stdio.h>
  
  int main()
  {
      char buf[8];
      char tgt[1024];
      const char * src = "abcdef";
  
      strncpy(buf, src, 3);
     strcpy(tgt, buf);
     return 0;
 }

Klocwork は 10 行目で配列 'tgt' のバッファオーバーフローレポートを生成します:非 null 終了文字列 'buf' による 'tgt' のバッファオーバーフロー。類似したエラーが 10 行目の配列 'buf' について報告されます。この例では、'buf' の読み取りと 'tgt' の作成があるため、配列範囲の違反は 2 回レポートされます。(strcpy を適切に使用しなかったことが原因で) 'buf' が null 終了されなかったため 、読み取りと作成の両方がバッファの範囲外 (3 以上) で起きています。このコードは、バッファオーバーフローとなり、セキュリティに関するさまざまな重大問題が生じる可能性があります。

関連チェッカー

• ABV.GENERAL
• NNTS.MIGHT
• NNTS.TAINTED

外部参考資料

• CERT ARR00-C: 配列の仕組みを理解する
• CERT ARR30-C: 範囲外のポインターまたは配列添え字を形成したり使用したりしない
• CERT STR03-C: 文字列をうっかり一部省略しない
• CERT STR32-C: 文字列を期待するライブラリ関数にはヌル以外で終了する文字のシーケンスは渡さない
• CERT STR50-CPP: 文字列のストレージに文字データと null 終了文字を格納するためのスペースが十分にあることを保証する
• CWE-20: 不適切な入力検証
• CWE-119: メモリバッファの範囲内の操作の不適切な制限
• CWE-125: 範囲外の読み取り
• CWE-170: 不適切な null 終了
• CWE-787: 範囲外の作成
• OWASP A3:2021 インジェクション
• STIG-ID: APP3590.1 バッファオーバーフローに脆弱なアプリケーション

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Buffer Overflow (バッファオーバーフロー)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは機能を拡張できます。詳細については、C/C++ 解析のチューニングを参照してください。