SV.BANNED.REQUIRED.ISBAD

禁止された文字列 IsBad 関数呼び出し

安全とは考えられない多数の C/C++ 関数があり、それを理由に '禁止された' として知られています。これらの関数を以下に示します。

  • alloca などのメモリ割り当て関数
  • strcat や strncat などの文字列連結関数
  • strcpy や strncpy などの文字列コピー関数
  • gets や _getts などの取得関数
  • IsBadWritePtr などの isbad 関数
  • _iota や _itow のような数値変換関数
  • CharToOem のような OEM 変換関数
  • _splitpath や makepath のようなパス関数
  • scanf のようなスキャン関数
  • sprintf や snprintf のような文字列表示関数
  • strtok のような文字列トークン作成関数

チェッカーの SV.BANNED ファミリーは、禁止された関数の使用をコード内に検出します。

SV.BANNED.REQUIRED.ISBAD チェッカーは、安全でない IsBad 関数の使用にフラグを立てます。

脆弱性とリスク

これらの多くの禁止された関数は、バッファオーバーランにつながる可能性があるために禁止されました。

strcpy や strcat のような関数と同様に、禁止された関数のリストには、strncpy や strncat のような対応する 'n' 関数が多く含まれています。一致している非 'n' 関数の置換として 'n' 関数がしばしば推奨されますが、現在ではオーバーフローしたバッファの非 null 終了やオーバーフローで返るエラーが欠落しているという指摘があると考えられています。

軽減と防止

禁止されたこれらの API の使用を妨げることは、多数のコード脆弱性を排除するのに良い方法です。禁止された関数は、より安全なバージョンと置換される必要があります。そうでなければ、禁止された関数を完全に回避するため、コードを再設計する必要があります。

セキュリティに関する問題を回避するには、お使いのコンパイラについて同等で安全なものがあれば、関数の各カテゴリで同等で安全な関数を使用することをお勧めします。場合によっては、置換関数はありません。このため、コードのアーキテクチャの再構築が推奨されます。IsBad 関数の置換関数はありません。 エラーをマスクできるためです。 したがって、これらの API の使用を避けるためにコードを書き直す必要があります。次のことを推奨します。

  • クラッシュを避ける必要がある場合は、ポインターを __try/__except でラップします。ただし、これによってバグが容易に隠れてしまうため、これを行うのはクラッシュの回避が絶対に重要な場合 (クラッシュ修復コードなど) や、データが無効となる妥当な理由がある場合のみにしてください。また、例外はすべてキャッチしなければならないわけではありません。 認識している型のみをキャッチします。すべての例外をキャッチするのは、IsBad*Ptr を使用するのと同様に、良いことではありません。
  • IsBadWritePtr では、memset を使用して出力先バッファを満たすことは、出力バッファが有効でかつ必要なスペースを保持するのに十分な大きさであることを確認するには最適な方法です。

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。