PVS-Studio：セキュリティ欠陥の検索

PVS-Studioアナライザーは、プログラムコード内のさまざまなセキュリティ上の欠陥（潜在的な脆弱性）を常に検索できました。 しかし、歴史的に、PVS-Studioはエラーを見つけるためのツールとして位置付けられていました。 現在、エラーではなく脆弱性をコード内で検索する方法がありますが、実際にはこれは同じことです。 それでは、PVS-Studio静的アナライザーのブランドを変更します。 Common Weakness Enumeration（CWE）から始めます。 この記事では、PVS-Studioの診断警告と分類子を比較した表を提供します。 テーブルは徐々に補充および変更されますが、その助けを借りて、特定のプロジェクトで検出されたセキュリティ上の欠陥に関する記事を書くことができるようになります。 これは、ソフトウェアセキュリティの専門家により注目されると思います。

共通弱点列挙（CWE）

始めに、用語を扱いましょう。 これを行うには、cwe.mitre.orgのFAQフラグメントを引用します。



A1。 CWEとは何ですか？ ソフトウェアセキュリティの欠陥とは何ですか？



ソフトウェアセキュリティの欠陥の一般的なリスト（Common Weakness Enumeration、CWE）は、開発者とソフトウェアセキュリティの専門家を対象としています。 これは、ソフトウェアのアーキテクチャ、設計、コード、または実装に現れる可能性のある一般的なセキュリティ欠陥の公式レジストリまたは辞書であり、攻撃者がシステムへの不正アクセスを取得するために使用できます。 このリストは、ソフトウェアセキュリティの欠陥を記述するための普遍的な公式言語として、また、そのような欠陥を検出し、これらの欠陥を認識、除去、防止するツールの有効性を測定するための標準として開発されました。



ソフトウェアセキュリティの欠陥とは、ソフトウェアの実装、コード、設計、またはアーキテクチャの欠陥、クラッシュ、エラー、脆弱性、およびその他の問題であり、それらが時間内に修正されない場合、悪意のあるユーザーによる攻撃に対してシステムおよびネットワークを脆弱にします。 このような問題には、バッファオーバーフロー、フォーマット文字列エラーなどが含まれます。 データの構造と検証の問題; 特別な要素による操作。 チャネルおよびパスエラー。 ハンドラーの問題; ユーザーインターフェイスエラー。 ディレクトリトラバーサルおよびパス等価性認識の問題。 認証エラー; リソース管理エラー。 データ検証のレベルが不十分。 入力データの評価とコードの実装の問題。 乱数の予測可能性と不十分な「ランダム性」の問題。



A2。 脆弱性とソフトウェアセキュリティの欠陥の違いは何ですか？



セキュリティ欠陥は、脆弱性を引き起こす可能性のあるバグです。 たとえば、Common Vulnerabilities and Exposures（CVE）のリストに記載されている脆弱性は、システムまたはネットワークにアクセスするために攻撃者が直接使用できるプログラムエラーです。

PVS-StudioとCWEの警告の対応

PVS-Studioアナライザーは、エラーを検出するためのツールとしてだけでなく、コードの脆弱性の数を減らすのに役立つツールとして認識されるようになります。 もちろん、CWEに記載されているすべてのセキュリティ上の欠陥が脆弱性ではありません。 いずれかの欠陥が攻撃に使用できるかどうかは、多くの要因に依存します。 そのため、今後、PVS-Studioアナライザーは脆弱性を検出するのではなく、潜在的な脆弱性を検出することを記述します。 より正確になります。



そこで、対応表の最初のバージョンを紹介します。 テーブルは更新され、改良されますが、最初のオプションでさえ、アナライザの機能について一般的な印象を与えることができます。

CWE	PVS-Studio	CWEの説明
CWE-14	V597	コンパイラーによるバッファーをクリアするコードの削除
CWE-121	V755	スタックベースのバッファオーバーフロー
CWE-122	V755	ヒープベースのバッファオーバーフロー
CWE-123	V575	書き込み場所条件
CWE-129	V557、V781、V3106	配列インデックスの不適切な検証
CWE-131	V514、V531、V568、V620、V627、V635、V641、V651、V687、V706、V727	バッファサイズの誤った計算
CWE-134	V576、V618、V3025	外部制御形式文字列の使用
CWE-135	V518、V635	マルチバイト文字列の長さの誤った計算
CWE-188	V557、V3106	データ/メモリレイアウトへの依存
CWE-195	V569	署名されていない変換エラーへの署名
CWE-197	V642	数値切り捨てエラー
CWE-36	V631、V3039	絶対パストラバーサル
CWE-369	V609、V3064	ゼロで除算
CWE-401	V701、V773	最後の参照を削除する前のメモリの不適切なリリース（「メモリリーク」）
CWE-404	V611、V773	不適切なリソースのシャットダウンまたはリリース
CWE-415	V586	ダブル無料
CWE-416	V774	無料で使用
CWE-457	V573、V614、V670、V3070、V3128	初期化されていない変数の使用
CWE-462	V766、V3058	連想リスト（リスト）の重複キー
CWE-467	V511、V512、V568	ポインター型でのsizeof（）の使用
CWE-468	V613、V620、V643	誤ったポインターのスケーリング
CWE-476	V522、V595、V664、V757、V769、V3019、V3042、V3080、V3095、V3105、V3125	NULLポインター逆参照
CWE-478	V577、V719、V622、V3002	Switchステートメントにデフォルトのケースがない
CWE-481	V559、V3055	比較する代わりに割り当てる
CWE-482	V607	割り当てる代わりに比較する
CWE-483	V640、V3043	不正なブロック区切り
CWE-561	V551、V695、V734、V776、V779、V3021	デッドコード
CWE-562	V558	スタック変数アドレスの返却
CWE-563	V519、V603、V751、V763、V3061、V3065、V3077、V3117	使用しない変数への割り当て（「未使用変数」）
CWE-570	V501、V547、V560、V654、V3022、V3063	式は常に偽
CWE-571	V501、V547、V560、V617、V654、V694、V3022、V3063	表現は常に真実
CWE-587	V566	ポインターへの固定アドレスの割り当て
CWE-588	V641	非構造ポインターの子にアクセスする試み
CWE-674	V3110	制御されない再帰
CWE-690	V522、V3080	NULLポインター逆参照への未チェックの戻り値
CWE-762	V611	メモリ管理ルートの不一致
CWE-805	V512、V594、V3106	不正な長さの値を持つバッファアクセス
CWE-806	V512	ソースバッファのサイズを使用したバッファアクセス
CWE-843	V641	互換性のないタイプを使用したリソースへのアクセス（「タイプの混乱」）

表N1。 CWE対応表の最初のドラフトバージョンとPVS-Studio診断。



これで、特定のプロジェクトで潜在的な脆弱性を発見したプロジェクトの検証に関する記事を書くことができます。 多くの分析者がセキュリティの欠陥を特定していると自慢しているため、記事ではこのトピックに触れます。

デモンストレーション

記事を書くときに上記の表を使用する方法を見てみましょう。 プロジェクトを分析し、PVS-Studioの診断メッセージをセキュリティの欠陥に関して調べます。



もちろん、すべてのプロジェクトが脆弱性に関して調査する価値があるわけではありません。 それでは、Apache HTTP Serverのような深刻なプロジェクトを取り上げましょう。



そのため、PVS-Studioを使用してApache HTTPサーバーを確認し、すべてのクラックからバグが抜け出していることを確認します。 やめて！ これはバグではなく、セキュリティ上の欠陥です！ タイプミスやエラーについてよりも潜在的な脆弱性について話す方がはるかに堅実です。



実際にテーブルの使用を示すだけのタスクに直面しているため、今回はプロジェクト全体を分析しません。 3つの警告について説明します。



例N1

#define myConnConfig(c) \ (SSLConnRec *)ap_get_module_config(c->conn_config, &ssl_module) .... int ssl_callback_alpn_select(SSL *ssl, const unsigned char **out, unsigned char *outlen, const unsigned char *in, unsigned int inlen, void *arg) { conn_rec *c = (conn_rec*)SSL_get_app_data(ssl); SSLConnRec *sslconn = myConnConfig(c); apr_array_header_t *client_protos; const char *proposed; size_t len; int i; /* If the connection object is not available, * then there's nothing for us to do. */ if (c == NULL) { return SSL_TLSEXT_ERR_OK; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studioアナライザーは次の警告を生成します： V595 nullptrに対して検証される前に「c」ポインターが使用されました。 行を確認してください：2340、2348。ssl_engine_kernel.c 2340



セキュリティの欠陥に関しては、これは次のとおりです。CWE-476（NULLポインター逆参照）



エラーの本質。 最も重要な2行のコードを選択します。

 SSLConnRec *sslconn = myConnConfig(c); if (c == NULL) {
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

（c == NULL）をチェックすると、ポインターがNULLになる可能性があることがわかります。 ただし、 myConnConfigマクロ内では既に逆参照されています。

 #define myConnConfig(c) \ (SSLConnRec *)ap_get_module_config(c->conn_config, &ssl_module)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

したがって、コードは、nullポインターの逆参照から保護されません。



例N2

 int get_password(struct passwd_ctx *ctx) { char buf[MAX_STRING_LEN + 1]; .... memset(buf, '\0', sizeof(buf)); return 0; err_too_long: .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studioアナライザーは次の警告を生成します。V597コンパイラーは、「buf」バッファーのフラッシュに使用される「memset」関数呼び出しを削除できます。 プライベートデータを消去するには、memset_s（）関数を使用する必要があります。 passwd_common.c 165



セキュリティの欠陥に関しては、これは次のとおりです。CWE-14（コンパイラーによるコードの除去によるバッファーのクリア）



エラーの本質。 最適化モードでコードをコンパイルするとき、コンパイラはmemset関数呼び出しを削除します。コンパイラの観点からは、この呼び出しは不要です。 スタック上に作成されたバッファをゼロで埋めると、このバッファは使用されなくなります。 したがって、バッファをゼロで埋めることは時間の無駄であり、 memset関数呼び出しを削除する必要があります。 したがって、プライベートデータは上書きされず、メモリに残ります。



これは、コンパイラの理論的に可能な抽象的な動作ではないことに注意してください。 コンパイラは実際にこれを行ってプログラムを高速化します。 詳細：

• メモリの上書き-なぜですか？
• V597 コンパイラは、「Foo」バッファをフラッシュするために使用される「memset」関数呼び出しを削除できます。

例N3

 static int is_quoted_pair(const char *s) { int res = -1; int c; if (((s + 1) != NULL) && (*s == '\\')) { c = (int) *(s + 1); if (apr_isascii(c)) { res = 1; } } return (res); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studioアナライザーは警告を生成します： V694条件（（s + 1）！=（（Void *）0））は、未定義の動作であるポインターオーバーフローがある場合にのみfalseです。 mod_mime.c 531



セキュリティの欠陥に関しては、これは次のとおりです。CWE-571（表現は常に真）



エラーの本質。 条件（（s + 1）！= NULL）は常に真です。 ポインターがオーバーフローした場合にのみfalseになります。 ポインターをオーバーフローさせると、プログラムの動作が未定義になります。そのため、このような場合について説明する意味はありません。 アナライザーから通知されたように、条件は常に真であると想定できます。



私たちはコードの作成者ではなく、コードがどのように見えるべきか正確にはわかりませんが、おそらく次のようになります。

 if ((*(s + 1) != '\0') && (*s == '\\')) {
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

おわりに

Hooray、PVS-Studioアナライザーを使用して、潜在的なコードの脆弱性を特定できます！



PVS-Studioコードアナライザーについて詳しく知り、デモプロジェクトのアナライザーを自分のプロジェクトで試してみてください。 製品ページ： PVS-Studio



技術およびライセンスに関するすべての問題については、support [@] viva64.comまでご連絡いただくか、 フィードバックフォームを使用してください。







この記事を英語圏の聴衆と共有したい場合は、翻訳へのリンクを使用してください：Andrey Karpov、Phillip Khandeliants。 PVS-Studio：ソフトウェアの弱点の検索