NUM.OVERFLOW

間違った型キャストによる数値オーバーフロー

NUM.OVERFLOW チェッカーは、変数が不正確に型キャストされたときのオーバーフローイベントを検出します。

脆弱性とリスク

間違った型キャストによる数値オーバーフローは、不正確な結果につながる可能性があります。また、デバッグによる追跡も困難です。不正確な結果は通常、より大きな式の中の部分式として表示され、これらによって生成されるオーバーフロー値を使った作業は簡単ではありません。これらの問題を回避するには、演算子優先を注意深く調べて複合式に適用する必要があります。チェッカーは、不正確に実行された明示的な型キャストが存在する場合にのみ開始されます。

脆弱コード例

1
2
3
4
5
6
7
8
  typedef unsigned long long uint64_t;
  typedef unsigned int uint32_t;
  uint64_t foo(uint32_t x, uint32_t y) {
    uint64_t z;
    z = (uint64_t) ( x * y );
    z = (uint64_t) ( y * 1000000U );
    return z;
  }

上の例の 5 行目と 6 行目で、デベロッパーはオペランドが両方 32 ビットの場合でも、乗算演算の結果が 64 ビットになると想定しています。乗算は最初に (オーバーフローの原因となる) 32 ビットで実行され、その後にアップキャストが続くため、両方の行に不正確な型キャストが含まれます。Klocwork は 5 行目と 6 行目で NUM.OVERFLOW を生成します。

修正コード例 1

1
2
3
4
5
6
7
8
  typedef unsigned long long uint64_t;
  typedef unsigned int uint32_t;
  uint64_t foo(uint32_t x, uint32_t y) {
    uint64_t z;
    z = (uint64_t) ( x ) * y;
    z = (uint64_t) ( y ) * 1000000U; //or: y*1000000ULL
    return z;
  }

5 行目で変数 'x' が最初にアップキャストされました。これにより、'y' が自動的に昇格し、完全な 64 ビット乗算になります。定数 (6 行目) で後置 (この場合は ULL) が適切に使用された場合、'y' も昇格するようコンパイラに指示します。

脆弱コード例 2

1
2
3
4
5
6
7
8
  typedef unsigned long long uint64_t;
  typedef unsigned int uint32_t;
  uint32_t get_val();
  uint64_t foo(uint32_t x, uint32_t y) {
    uint64_t z;
    z = (uint64_t) ( y * get_val() );
    return z;
  }

上記の例で、6 行目に類似した問題が示されていますが、今回は関数呼び出しを伴っています。

修正コード例 2

1
2
3
4
5
6
7
8
  typedef unsigned long long uint64_t;
  typedef unsigned int uint32_t;
  uint32_t get_val();
  uint64_t foo(uint32_t x, uint32_t y) {
    uint64_t z;
    z = (uint64_t) ( y ) * get_val();
    return z;
  }

関連チェッカー

• PORTING.CAST.PTR.SIZE
• PORTING.CAST.SIZE
• CWARN.NOEFFECT.OUTOFRANGE

外部参考資料

• CERT INT30-C: 符号なし整数演算がラップしないことを確認してください
• CERT INT32-C: 符号付き整数に対する演算がオーバーフローを起こさないようにする
• CWE-190: 整数オーバーフローまたはラップアラウンド

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Integer Overflow (整数オーバーフロー)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは機能を拡張できません。