NPD.CONST.DEREF

null ポインターの定数値が逆参照されます

null ポインターを使用してデータにアクセスしようとすると、ランタイムエラーが発生します。有効だと思っていたのに実際は null だと判明したポインターをプログラムが逆参照すると、null ポインター逆参照が起こります。null ポインター逆参照欠陥は、エラー処理または競合状態が無効なためにしばしば起こります。通常、プログラム終了の異常が発生します。ポインターが C/C++ コードにおいて逆参照される前に、null に等しくないことを確認するためにチェックする必要があります。

NPD チェッカーは、null または null ポインターが逆参照されるインスタンスを探します。NPD.CONST.DEREF チェッカーは、null 値についてチェックされた null ポインターの定数値が明示的にまたは関数呼び出しで逆参照される状況にフラグを立てます。

脆弱性とリスク

通常、null ポインターの逆参照は、プロセスに失敗する結果となります。これらの指摘は通常、無効な例外処理が原因で発生します。

軽減と防止

この脆弱性を回避するには、次の操作を実行します。

• 値を返すすべての関数の結果において null 値についてチェックします
• すべての外部入力が検証されていることを確認します
• 変数を明示的に初期化します
• 異常な例外が正確に処理されていることを確認します

脆弱コード例

1
2
3
4
5
6
7
8
  void xstrcpy(char *dst, char *src) {
    if (!src) return;
    dst[0] = src[0];
  }
  
  void npd_const_deref(int flag, char *arg) {
    xstrcpy(NULL, "Hello");
  }

この例では、関数 xstrcpy は null ポインター *dst を関数 npd_const_deref に渡すことができます。このタイプの脆弱性が原因で、予期しない結果や意図しない結果となる可能性があります。

修正コード例

1
2
3
4
5
6
7
8
9
  void xstrcpy(char *dst, char *src) {
    if (!src) return;
    if (!dst) return;
    dst[0] = src[0];
  }
  
  void npd_const_deref(int flag, char *arg) {
    xstrcpy(NULL, "Hello");
  }

修正されたコードでは、*dst は 3 行目で null についてチェックされます。

関連チェッカー

• NPD.CHECK.CALL.MIGHT
• NPD.CHECK.CALL.MUST
• NPD.CHECK.MIGHT
• NPD.CHECK.MUST
• NPD.CONST.CALL
• NPD.FUNC.CALL.MIGHT
• NPD.FUNC.CALL.MUST
• NPD.FUNC.MIGHT
• NPD.FUNC.MUST
• NPD.GEN.CALL.MIGHT
• NPD.GEN.CALL.MUST
• NPD.GEN.MIGHT
• NPD.GEN.MUST

外部参考資料

• CERT EXP34-C: null ポインターを逆参照しない
• CERT MEM52-CPP: メモリ割り当てのエラーを検出し、処理する
• CERT STR51-CPP: null ポインターから std::string を作成しない
• CWE-476: null ポインター逆参照

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Null Dereference (null 逆参照)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、C/C++ 解析のチューニングを参照してください。