• ホーム
• プログラミング

C11 ライブラリ関数 (脆弱性対策)

C11 (ISO/IEC 9899:2011) 仕様は2011年に規格化された C言語仕様であるが，C11 の改訂項目の特徴の1つとして脆弱性対策が挙げられる．

ここでは，C11仕様の Annex K で定められている関数 (実装はオプション扱い) の内，脆弱性対策用の主な関数を紹介する．

なお，C11 の仕様書は，Committee draft であれば www.open-std.org で閲覧可能である．

型の宣言

• rsize_t 型
  型としては size_t 型と同一であるが，rsize_t 型のオブジェクトに格納される値は, stdint.hヘッダファイルで定義される RSIZE_MAXマクロの値以下であると規定されている．このため，処理系で RSIZE_MAX を現実的な値に制限しておくことで，間違ったサイズの指定を実行時エラーで検出することが可能となる．
• restrict キーワード
  引数で指定されているメモリ領域がオーバーラップしていないことを前提としてこの関数が実装されていることを示している．

入出力関数

• tmpfile_s 関数

    errno_t tmpfile_s(FILE * restrict * restrict streamptr);
          

  一時ファイルをモード "wb+"（更新用バイナリファイル）で作成して，引数で指定された場所にFILEポインタを格納する．作成されたファイルは，プログラムの終了時に自動的に削除される．
  処理に成功すれば 0 を，それ以外の場合は非0 を返す．
• tmpnam_s 関数

    errno_t tmpnam_s(char *s, rsize_t maxsize);
            

  tmpnam関数は，生成された一時ファイルの名前を引数で渡した位置に格納するが，用意した領域のサイズを指定する方法がないため，常に領域あふれの危険が伴う．また，引数に nullポインタを指定した場合は，領域が自動的に確保されるが，マルチスレッドでの利用に問題がある （利用は推奨されない）．
  tmpnam_s 関数は，引数に指定した位置に生成した一時ファイル名を格納するが，引数で領域のサイズを指定できる．
• fopen_s 関数

    errno_t fopen_s(FILE *restrict *restrict streamptr,
        const char *restrict filename,
        const char *restrict mode);
            

  戻り値が errno_t になり，errno からエラーの原因を調べなくても良くなっている． fopen_s でファイルを開くと他のアプリケーションから開けなくなる．また，ファイルが既に存在するか生成できない場合にエラーになる排他モード("x")が追加されている．
• printf_s 系列関数
  printf 系列の関数の変換指定子から危険なフォーマット文字列攻撃を引き起こす %n変換指定子を削除した関数．
• gets_s 関数

    char *gets_s(char *s, rsize_t n);
            

  gets 関数は，標準入力から1行分の文字列を読みメモリに格納する関数であるが，格納先メモリの長さを指定できないため，潜在的なバッファオーバーラン脆弱性がある．C11ではこの関数は削除され，fgets 関数か gets_s関数を用いることが推奨されている．
  gets_s関数は，入力文字列の格納先と共に格納先のサイズ n も指定でき，最大で n-1文字が標準入力から読み込まれ，その後にnull文字が書き込まれる．

文字列操作

• memcpy_s 関数

    errno_t memcpy_s(void * restrict s1, rsize_t s1max,
      const void * restrict s2, rsize_t n);
            

  s2 で示されるオブジェクト位置から s1 で示されるオブジェクト位置に n 文字分コピーする．
  n および s1max は RSIZE_MAX を超えてなならない，また，n は s1max を超えてはならない．
• memmove_s 関数

    errno_t memmove_s(void *s1, rsize_t s1max,
      const void *s2, rsize_t n);
            

  s2 で示されるオブジェクト位置から s1 で示されるオブジェクト位置に n 文字分コピーする．s1 と s2 がオーバラップしていてもよい．
  n および s1max は RSIZE_MAX を超えてはならない，また，n は s1max を超えてはならない．
• strcpy_s 関数

    errno_t strcpy_s(char * restrict s1, rsize_t s1max,
      const char * restrict s2);
            

  s2 で示される文字列 (終端のNULL文字を含む)を s1 で示される配列にコピーする．
  s1max は RSIZE_MAX を超えてはならない，また，s1max は s2 より大きくなければならない．
• strcat_s 関数

    errno_t strcat_s(char * restrict s1, rsize_t s1max,
      const char * restrict s2);
            

  s2 で示される文字列 (終端のNULL文字を含む)を s1 で示される文字列の後ろに追加する．
  s1max は RSIZE_MAX を超えてはならない．また，m = s1max - strnlen_s(s1, s1max) とするとき， m は strnlen_s(s2, m) より大きくなければならない．
• strnlen_s 関数

    size_t strnlen_s(const char *s, size_t maxsize);
            

  s で示される文字列の長さを返す．s が NULLポインタの場合は，0 を返す．
  maxsize 以内に NULL文字が無い場合は maxsize を返すため，高々maxsize迄しかアクセスされない．

その他

• memset_s 関数

    errno_t memset_s(void *s, rsize_t smax, int c, rsize_t n);
            

  memset関数により後処理用に書き込んだメモリ内容(ダミーデータなど)にアクセスしないと，コンパイラが最適化のため実行を不要と判断し，memset関数の処理そのものを削除してしまう可能性がある．これに対して，memset_s関数ではメモリへの書き込みが行われることが保証される．
• getenv_s 関数

    errno_t getenv_s(size_t * restrict len,　char * restrict value,
        rsize_t maxsize, const char * restrict name);
  　　　　　　　　

  getenv関数は，指定された名前を持つ環境変数の値を指すポインタを返す．マルチスレッド環境では，あるスレッドがgetenv関数を呼んで環境変数へのポインタを取得した直後に別のスレッドが環境変数を変更し，競合状態(ポインタ値が無効)となる可能性がある．また，環境変数の最大長はプラットフォーム依存であり，ここで得られたポインタを使ってstrcpy関数などで内容をコピーするのは危険である．getenv_s関数は,環境変数の値をコピーするようになっており,また最大コピー長も指定できるようになっている．

／