SV.STRBUF.CLEAN

SV.STRBUF.CLEAN は、潜在的なセキュリティデータが StringBuffer から消去されていない場合に発生します。

脆弱性とリスク

データのクリアをガーベッジコレクターに頼るのは安全ではありません。攻撃者が解放されていないデータにアクセスする可能性があります。

Klocwork セキュリティ脆弱性 (SV) チェッカーは、潜在的に危険なデータを生成する呼び出しを特定します。このような呼び出しは安全でないソースと考えられます。ユーザーは攻撃者になる可能性があり、ヒューマンエラーを取り込む可能性があるため、安全でないソースはユーザーが指定した任意のデータである可能性があります。

軽減と防止

機密データの保存に mutable オブジェクトを使用しないようにします。機密データに mutable オブジェクトを使用する必要がある場合には、使用後すぐにオブジェクトを無効にします。

例 1

コピー
     private void processingData(String user) throws SQLException {
         String credential = getCredential(user);
         // ...
     }
 
     private String getCredential(String user) throws SQLException {
         Statement statement = con.createStatement();
         try {
             StringBuffer buffer = new StringBuffer();
             ResultSet resultSet = statement.executeQuery("SELECT * FROM credentials WHERE name='" + user + '\'');
             while (resultSet.next()) {
                 String key = resultSet.getString("key");
                 buffer.append(key);
             }
 
             final String result = buffer.toString();
             return result;
         } finally {
             statement.close();
         }
     }

SV.STRBUF.CLEAN が 24 行目に対して報告されています。ガーベッジコレクションの前に文字列バッファ 'buffer' が削除されていません。

例 2

コピー
     private void processingData(String user) throws SQLException {
         String credential = getCredential(user);
         // ...
 
     }
 
     private String getCredential(String user) throws SQLException {
         Statement statement = con.createStatement();
         StringBuffer buffer = new StringBuffer();
         try {
             ResultSet resultSet = statement.executeQuery("SELECT * FROM credentials WHERE name='" + user + '\'');
             while (resultSet.next()) {
                 String key = resultSet.getString("key");
                 buffer.append(key);
             }
 
             final String result = buffer.toString();
             return result;
         } finally {
             buffer.delete(0, buffer.length());
             statement.close();
         }
     }

前節のセクションのスニペットは修正されています。フィールドは SV.STRBUF.CLEAN は報告されません。

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、Java 解析のチューニングを参照してください。