19 смертных грехов, угрожающих безопасности программ - страница 18
CVE–2000–0844
Цитата из бюллетеня CVE: «Некоторые функции, используемые в подсистеме локализации UNIX, недостаточно контролируют внедренные пользователем форматные строки, что позволяет противнику выполнить произвольный код с помощью таких функций, как gettext и catopen».
Полный текст оригинального бюллетеня можно найти по адресу www.securityfocus.eom/archive/l/80154. Эта ошибка интересна тем, что затрагивает базовые API, применяемые в большинстве вариантов UNIX (в том числе и Linux), за исключением систем на базе BSD, в которых привилегированная suid–программа игнорирует значение переменной окружения NLSPATH. Как и многие бюллетени в разделе CORE SDI, этот прекрасно написан, информативен и содержит очень подробное объяснение проблемы в общем, но это предложение не только опасно, но еще и потребляет много процессорного времени.
Искупление греха
Прежде всего никогда не передавайте поступающие от пользователя данные функциям форматирования без проверки. За этим нужно следить на всех уровнях форматирования вывода. Отметим попутно, что функциям форматирования присущи заметные накладные расходы; загляните в исходный текст функции _output, если вам любопытно. Как бы ни удобно было писать просто:
fprintf(STDOUT, buf);
Во вторую очередь позаботьтесь о том, чтобы все используемые в программе форматные строки читались только из доверенного источника и чтобы противник не мог контролировать путь к этому источнику. Если вы пишете код для UNIX или Linux, имеет смысл последовать примеру BSD в плане игнорирования переменной NLSPATH, которая задает путь к файлу локализованных сообщений. Это повысит степень защиты.
Искупление греха в C/C++
Достаточно просто пользоваться функциями форматирования вот так:
printf(«%s», user_input);
Дополнительные защитные меры
Проверяйте локаль и разрешайте только корректные значения. Подробнее см. статью David Wheeler «Write It Secure: Format Strings and Locale Filtering», упомянутую в разделе «Другие ресурсы». Не пользуйтесь функциями семейства printf, если есть другие пути. Например, в С++ имеются операторы вывода в поток:
#include
//...
std::cout << user_input
//...
Другие ресурсы
□ «format bugs, in addition to the wuftpd bug» by Lamagra Agramal: www.securityfocus.com/archive/1/66842
□ Writing Secure Code, Second Edition by Michael Howard and David C. LeBlanc (Microsoft Press, 2002), Chapter 5, «Public Enemy #1: Buffer Overruns»
□ «UNIX locale format string vulnerability, CORE SDI» by Ivan Arce: www.securityfocus.com/archive/1/80154
□ «Format String Attacks» by Tim Newsham: www.securityfocus.com/archive/ 1/81565
□ «Windows 2000 Format String Vulnerabilities» by David Litchfield: www.nextgenss.com/papers/win32format.doc
□ «Write It Secure: Format Strings and Locale Filtering» by David A Wheeler: www.dwheeler.com/essays/write_it_secure_l.html
Резюме
Рекомендуется
□ Пользуйтесь фиксированными форматными строками или считываемыми из заслуживающего доверия источника.
□ Проверяйте корректность всех запросов к локали.
Не рекомендуется
□ Не передавайте поступающие от пользователя форматные строки напрямую функциям форматирования.
Стоит подумать
□ О том, чтобы использовать языки высокого уровня, которые в меньшей степени уязвимы относительно этой ошибки.
Грех 3.
Переполнение целых чисел
В чем состоит грех
Переполнение и потеря значимости при арифметических вычислениях как с целыми, так и особенно с числами с плавающей точкой были проблемой с момента возникновения компьютерного программирования. Тео де Раадт (Theo de Raadt), стоявший у истоков системы OpenBSD, говорит, что переполнение целых чисел–это «очередная угроза». Авторы настоящей книги полагают, что эта угроза висит над нами уже три года!
Похожие книги
