SV.FMT_STR.SCAN_FORMAT_MISMATCH.UNDESIRED

予期しない指定とパラメーターの一致

SV.FMT_STR.SCAN_FORMAT_MISMATCH.UNDESIRED チェッカーは、スキャン関数パラメーターと対応する書式文字列仕様が一致しない場合、コードにフラグを立てます。このチェッカーは、このパラメーターが指定する項目の型サイズが、対応する書式文字列仕様が指定するサイズ以上だと、欠陥をレポートします。

脆弱性とリスク

このパラメーターが指定する型のサイズは、仕様で指定するサイズと同じかそれ以上であるため、メモリ破壊の可能性はないものの、このような状況は、指定された項目への予期しない値の作成の原因となる場合があります。また、このコードを異なるプラットフォームに移植する場合にも問題が発生する可能性があります。

脆弱コード例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
  char* pc;
  int i;
  char c;
  long l;
  long long ll;
 
  void scan_all(FILE* f) {
    fscanf(f, "%s", pc);
    fscanf(f, "%d", &pc);  // fscanf format mismatch
   fscanf(f, "%d", &i);
   fscanf(f, "%hx", &i);  // fscanf format mismatch
   fscanf(f, "%c", &l);   // fscanf format mismatch
   fscanf(f, "%p", &ll);  // fscanf format mismatch
 }

Klocwork は 9、11、12、13 行目で、書式文字列指定とパラメーターの間の不一致を示すエラーにフラグを立てます。書式仕様からわかるように、9 行目では int 型へのポインターが期待され、11 行目では short 型へのポインターが期待され、12 行目では char 型へのポインターが期待され、13 行目ではポインターへのポインターが期待されているのに、これらの行のいずれのパラメーターもこれらの期待値と一致していません。ただし、いずれの場合も、パラメーターが占有するメモリ項目が、仕様で指定された期待値よりも大きいため、エラーは BAD ではなく UNDESIRED と見なされています。その一方で、8 行目と 10 行目は、指定とパラメーターが一致する例を示しています。

修正コード例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
  char* pc;
  int i;
  char c;
  long l;
  long long ll;
  short s;
 
  void scan_all(FILE* f) {
    fscanf(f, "%s", pc);
   fscanf(f, "%p", &pc);
   fscanf(f, "%d", &i);
   fscanf(f, "%hx", &s);
   fscanf(f, "%ld", &l);
   fscanf(f, "%lld", &ll);
 }

修正例では、それぞれの書式指定とパラメーターは対応しています。

関連チェッカー

• SV.FMT_STR.PRINT_FORMAT_MISMATCH.BAD
• SV.FMT_STR.PRINT_FORMAT_MISMATCH.UNDESIRED
• SV.FMT_STR.SCAN_FORMAT_MISMATCH.BAD
• SV.FMT_STR.PRINT_IMPROP_LENGTH
• SV.FMT_STR.PRINT_PARAMS_WRONGNUM.FEW
• SV.FMT_STR.PRINT_PARAMS_WRONGNUM.MANY
• SV.FMT_STR.SCAN_IMPROP_LENGTH
• SV.FMT_STR.SCAN_PARAMS_WRONGNUM.FEW
• SV.FMT_STR.SCAN_PARAMS_WRONGNUM.MANY
• SV.FMT_STR.UNKWN_FORMAT
• SV.FMT_STR.UNKWN_FORMAT.SCAN

外部参考資料

• CERT DCL11-C: variadic 関数に関連する型の指摘を理解する
• CERT FIO47-C: 有効な書式文字列を使用する
• CWE-686: 引数型が不正確な関数呼び出し
• STIG-ID: APP3560 アプリケーションに含まれる書式文字列の脆弱性