SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

C/C++セキュアコーディング入門

安全なシグナルハンドラを実装するには
――C/C++セキュアコーディング入門(4)

「動けばいいってもんじゃない」 脆弱性を作り込まないコーディング 第4回

  • X ポスト
  • このエントリーをはてなブックマークに追加

 UNIXなどPOSIX準拠のOSでは、割り込みや例外を抽象化した「シグナル」と呼ばれる仕組みを用いてプロセスに(非)同期イベントが通知されますが、シグナルハンドラで行える処理には制約があり、これを無視したコードを書くと脆弱性につながる恐れがあります。今回はシグナルハンドラの制約に関するルールを見てみましょう。

  • X ポスト
  • このエントリーをはてなブックマークに追加

シグナルハンドラの制約

 UNIXなどPOSIX準拠のOSでは、割り込みや例外を抽象化した「シグナル」と呼ばれる仕組みを用いてプロセスに(非)同期イベントが通知されます。ユーザが[Ctrl]-[C]キーを押してプログラムを中断しようとしたり(SIGINT)、整数オーバーフローが発生したり(SIGFPE)すると、それらのイベントに対応するシグナルがカーネルからプロセスに対して通知されるのです。プログラマは、これらのシグナルを受信した時に特定の動作を行わせる「シグナルハンドラ」を書くことができます。しかし、シグナルハンドラで行える処理には制約があり、これを無視したコードを書くと脆弱性につながる恐れがあります。

 今回はシグナルハンドラの制約に関するルールを見てみましょう。

 結論から言うと、シグナルハンドラ内で安全に(未定義の動作にならずに)行える処理は以下に限られます。

  • 非同期シグナル安全(async-signal-safe)な関数の呼び出し
  • volatile sig_atomic_t型変数の読み書き
  • シグナルハンドラ内の自動変数の読み書き

 ではコード例を見ながら解説しましょう。次のコードには複数の問題が存在するため、実行環境によってはプログラマの意図せぬ動作をする恐れがあります。

enum { MAXLINE = 1024 };
char *info = NULL;

void handler(int signum) {
  fprintf(stderr, info);
  free(info);
  info = NULL;
}

int main(void) {
  if (signal(SIGINT, handler) == SIG_ERR) {
    /* エラー処理 */
  }
  info = (char*)malloc(MAXLINE);
  if (info == NULL) {
    /* エラー処理 */
  }

  while (1) {
    fprintf(stderr, info);
  }
  free(info)
  return 0;
}

非同期シグナル安全な関数のみ呼び出す

 シグナルハンドラから fprintf()を呼び出すのは危険です。fprintf()が非同期シグナル安全な関数ではないからですが、なぜ非同期シグナル安全でない関数を呼び出すのが問題になるのかは後述します。

 シグナルハンドラからfree()を呼び出すのも危険です。main()でfree()を呼び出している最中に割り込みシグナルを受信した場合、ヒープ領域を管理するデータ構造が破壊されるかもしれません。さらに、main()のfree()直後でシグナルを受信すると、二重解放の脆弱性を引き起こす可能性もあります。

 また、volatile sig_atomic_t型でない変数infoをシグナルハンドラが読み取る処理も危険です。

 以下の修正コードでは、シグナルハンドラ内では sig_atomic_t型変数への代入しか行わないようにすることで、上述の問題を回避しています。

enum { MAXLINE = 1024 };
volatile sig_atomic_t eflag = 0;
char *info = NULL;

void handler(int signum) {
  eflag = 1;
}

int main(void) {
  if (signal(SIGINT, handler) == SIG_ERR) {
    /* エラー処理 */
  }
  info = (char*)malloc(MAXLINE);
  if (info == NULL) {
    /* エラー処理 */
  }

  while (!eflag) {
    fprintf(stderr, info);	
  }

  fprintf(stderr, info);
  free(info);
  info = NULL;

  return 0;
}

 シグナルハンドラ内で非同期シグナル安全でないライブラリ関数などを呼び出すと、なぜ脆弱性の原因となるのか。その理由としては、(a)これらの関数が内部でグローバル変数など静的データ構造を利用するから、(b)mallocやfreeを内部で呼び出すから、(c)標準入出力関数の一部であるから、などが挙げられます。malloc()はその代表格です。malloc()は割り当て済みヒープ領域をリンクリストで管理しており、そのリストの書き換えの最中にシグナルハンドラからmalloc()を呼び出すと、リンクリストに対するアトミックでない変更が生じてしまい、結果としてプログラムの動作が予測不能になる可能性があります。printf()系関数も内部でmalloc()を呼び出す実装になっていることがあり、同様のリスクがあります。

 非同期シグナル安全な関数の一覧は sigaction(2)のマニュアルなどに掲載されています。このうち、主なものについて以下の表にまとめました。

表1:非同期シグナル安全な関数
_Exit() _exit() abort() accept()
access() aio_error() aio_return() aio_suspend()
alarm() bind() cfgetispeed() cfgetospeed()
cfsetispeed() cfsetospeed() chdir() chmod()
chown() clock_gettime() close() connect()
creat() dup() dup2() execle()
execve() fchmod() fchown() fcntl()
fdatasync() fork() fpathconf() fstat()
fsync() ftruncate() getegid() geteuid()
getgid() getgroups() getpeername() getpgrp()
getpid() getppid() getsockname() getsockopt()
getuid() kill() link() listen()
lseek() lstat() mkdir() mkfifo()
open() pathconf() pause() pipe()
poll() posix_trace_event() pselect() raise()
read() readlink() recv() recvfrom()
recvmsg() rename() rmdir() select()

 このように、シグナルハンドラの制約は見落としがちなので注意が必要です。

 Sendmailの脆弱なシグナルハンドラの実装を突き、ヒープメモリの管理データ構造を悪用することで攻撃を成立させる仕組みについて、参考情報にあげたMichal Zalewski氏の論文に詳しい解説があります。興味のある方はそちらも併せてご参照ください

参考情報

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
C/C++セキュアコーディング入門連載記事一覧

もっと読む

この記事の著者

久保 正樹(JPCERT コーディネーションセンター)(クボ マサキ(JPCERT コーディネーションセンター))

脆弱性アナリストJPCERTコーディネーションセンター慶応義塾大学環境情報学部卒。ソニーでデスクトップPCのソフトウェア開発に携わったのち、米国ダートマス大学にてオーディオ信号処理、電子音響音楽の研究を行い、電子音響音楽修士を取得。2005年4月よりJPCERTコーディネーションセンターにて、脆弱性...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/4700 2010/01/04 14:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング