CERT C: Rule ERR33-C

Обнаружьте и обработайте стандартные ошибки библиотеки

Описание

Управляйте определением

Обнаружьте и обработайте стандартные ошибки библиотеки.[1]

Реализация Polyspace

Это средство проверки проверяет на эти проблемы:

  • Errno, не проверяемый.

  • Возвращенное значение чувствительной стандартной функции, не проверяемой.

  • Незащищенное динамическое выделение памяти.

  • Указатель перезаписывается во время перераспределения.

Примеры

развернуть все

Проблема

Errno, не проверяемый, происходит, когда вы вызываете функцию, которая устанавливает errno указать на состояние ошибки, но не проверять errno после вызова. Для этих функций, проверяя errno единственный надежный путь состоит в том, чтобы определить, произошла ли ошибка.

Функции, которые устанавливают errno при ошибках включайте:

  • fgetwc, strtol, и wcstol.

    Для всестороннего списка функций см. документацию о errno.

  • POSIX® errno- установка функций, таких как encrypt и setkey.

Риск

Чтобы видеть если вызов функции, завершенный без ошибок, проверяйте errno для ошибочных значений.

Возвращаемые значения их errno- устанавливающие функции не указывают на ошибки. Возвращаемое значение может быть одним из следующего:

  • void

  • Даже если ошибка происходит, возвращаемое значение может совпасть со значением от успешного вызова. Такие возвращаемые значения называются внутриполосными ошибочными индикаторами.

Можно определить, произошла ли ошибка только путем проверки errno.

Например, strtol преобразует строку в длинное целое и возвращает целое число. Если результат переполнения преобразования, функция возвращает LONG_MAX и наборы errno к ERANGE. Однако функция может также возвратить LONG_MAX от успешного преобразования. Только путем проверки errno можно ли различать ошибку и успешное преобразование.

Исправление

Прежде, чем вызвать функцию, набор errno обнулять.

После вызова функции, чтобы видеть, произошла ли ошибка, сравнивают errno обнулять. В качестве альтернативы сравните errno к известным ошибочным значениям индикатора. Например, strtol наборы errno к ERANGE указать на ошибки.

Сообщение об ошибке в Polyspace® закончитесь показывает ошибочное значение индикатора, что можно выдержать сравнение с.

Пример - errno Не проверенный после вызова strtol
#include<stdio.h>
#include<stdlib.h>
#include<errno.h>

int main(int argc, char *argv[]) {
    char *str, *endptr;
    int base;
    
    str = argv[1];
    base = 10;
    
    long val = strtol(str, &endptr, base);
    printf("Return value of strtol() = %ld\n", val);
}

Вы используете возвращаемое значение strtol не проверяя errno.

Коррекция — проверяет errno После вызова

Прежде, чем вызвать strtol, установите errno обнулять. После вызова strtol, проверяйте возвращаемое значение на LONG_MIN или LONG_MAX и errno для ERANGE.

#include<stdlib.h>
#include<stdio.h>
#include<errno.h>
#include<limits.h>

int main(int argc, char *argv[]) {
    char *str, *endptr;
    int base;
    
    str = argv[1];
    base = 10;
    
    errno = 0;
    long val = strtol(str, &endptr, base);
    if((val == LONG_MIN || val == LONG_MAX) && errno == ERANGE) {
         printf("strtol error");
         exit(EXIT_FAILURE);
    }        
    printf("Return value of strtol() = %ld\n", val);
}
Проблема

Возвращенное значение чувствительной стандартной функции, не проверяемой, происходит, когда вы вызываете чувствительные стандартные функции, но вас:

  • Проигнорируйте возвращаемое значение.

  • Используйте выход или возвращаемое значение, не тестируя валидность возвращаемого значения.

Для этого дефекта рассматриваются два типа функций: чувствительный и очень важный чувствительный.

Чувствительная функция является стандартной функцией, которая может столкнуться:

  • Исчерпанные системные ресурсы (например, при выделении ресурсов)

  • Измененные привилегии или полномочия

  • Испорченные источники при чтении, при записи или преобразовании данных из внешних источников

  • Неподдерживаемые функции несмотря на существующий API

Критическая чувствительная функция является чувствительной функцией, которая выполняет одну из этих критических или уязвимых задач:

  • Установите привилегии (например, setuid)

  • Создайте тюрьму (например, chroot)

  • Создайте процесс (например, fork)

  • Создайте поток (например, thrd_create)

  • Заблокируйте или разблокируйте сегменты памяти (например, mlock)

Риск

Если вы не проверяете возвращаемое значение функций, которые выполняют чувствительные или критические чувствительные задачи, ваша программа может неожиданно вести себя. Ошибки от этих функций могут распространить в программе, вызывающей неправильный выход, уязвимости системы обеспечения безопасности, и возможно системные отказы.

Исправление

Прежде, чем продолжить программу, протестируйте возвращаемое значение критических чувствительных функций.

Для чувствительных функций можно явным образом проигнорировать возвращаемое значение путем кастинга функции к void. Polyspace не повышает этот дефект для чувствительного броска функций, чтобы освободить. Это разрешение не принято для критических чувствительных функций, потому что они выполняют более уязвимые задачи.

Пример - чувствительный функциональный проигнорированный возврат
#include<stdio.h>
#include <wchar.h>
#include <locale.h>
void initialize(size_t n, size_t* size, wchar_t *wcs, const char *utf8) {

	scanf("%d",&n); //Noncompliant
	setlocale (LC_CTYPE, "en_US.UTF-8");   //Noncompliant
	*size = mbstowcs (wcs, utf8, n);
}

Этот пример показывает вызов чувствительного функционального scanf(). Возвращаемое значение scanf() проигнорирован, вызвав дефект. Точно так же указатель, возвращенный setlocale не проверяется. Когда setlocal возвращает NULL указатель, вызов mbstowcs может привести к сбою или привести к неожиданным результатам. Polyspace отмечает эти вызовы чувствительных функций, когда их возвраты не проверяются.

Коррекция — функция броска к (void)

Одна возможная коррекция должна бросить функции, чтобы освободить. Эта фиксация сообщает Polyspace и любым рецензентам, что вы явным образом игнорируете возвращаемое значение этих чувствительных функций.

#include<stdio.h>
#include <wchar.h>
#include <locale.h>
void initialize(size_t n, size_t* size, wchar_t *wcs, const char *utf8) {

	(void)scanf("%d",&n); //Compliant
	(void)setlocale (LC_CTYPE, "en_US.UTF-8");   //Compliant
	*size = mbstowcs (wcs, utf8, n);
}
Коррекция — тестирует возвращаемое значение

Одна возможная коррекция должна протестировать возвращаемое значение scanf и setlocale проверять ошибки.

#include<stdio.h>
#include <wchar.h>
#include <locale.h>
void initialize(size_t n, size_t* size, wchar_t *wcs, const char *utf8) {

	int flag = scanf("%d",&n); 
	if(flag>0){ //Compliant
		// action
	}
	char* status = setlocale (LC_CTYPE, "en_US.UTF-8");   
	if(status!=NULL){//Compliant
		*size = mbstowcs (wcs, utf8, n);
	}
	
}
Пример - критический функциональный проигнорированный возврат
#include <threads.h>
int thrd_func(void);
void initialize() {
    thrd_t thr;
	int n = 1;

    (void) thrd_create(&thr,thrd_func,&n); 
}

В этом примере, критическом функциональном thrd_create называется и его возвращаемое значение проигнорировано путем кастинга, чтобы освободить, но потому что thrd_create критическая функция, Polyspace не игнорирует этот дефект.

Коррекция — тестирует возвращаемое значение критических функций

Коррекция для этого дефекта должна проверять возвращаемое значение этих критических функций, чтобы проверить функцию, выполняемую как ожидалось.

#include <threads.h>
int thrd_func(void);
void initialize() {
	thrd_t thr;
	int n = 1;
	if( thrd_success!= thrd_create(&thr,thrd_func,&n) ){
		// handle error
		
	}
}
Проблема

Незащищенное динамическое выделение памяти происходит, когда вы не проверяете после динамического выделения памяти ли выделение памяти, за которым следуют.

Риск

Когда память динамически выделяется с помощью malloc, calloc, или realloc, это возвращает значение NULL если требуемая память не доступна. Если код после выделения получает доступ к блоку памяти, не проверяя на этот NULL значение, этот доступ не защищен от отказов.

Исправление

Проверяйте возвращаемое значение malloc, calloc, или realloc для NULL прежде, чем получить доступ к выделенной ячейке памяти.

#DEFINE SIZE 8;

int *ptr = malloc(SIZE * sizeof(int));

if(ptr) /* Check for NULL */ 
{
   /* Memory access through ptr */
}

Пример - незащищенная ошибка динамического выделения памяти
#include <stdlib.h>

void Assign_Value(void) 
{
  int* p = (int*)calloc(5, sizeof(int));
  *p = 2;  //Noncompliant  
  /* Defect: p is not checked for NULL value */
  free(p); 
} 
/*Defect: p is not checked for NULL before deallocating*/

Если выделение памяти перестало работать, функция, такая как calloc возвращает NULL к p. Прежде, чем получить доступ к памяти через p или освобождение p, код не проверяет ли p isNull. Эти операции могут привести к утечкам памяти.

Коррекция — проверяет на нулевое значение

Одна возможная коррекция должна проверять ли p имеет значение NULL прежде разыменовывают.

#include <stdlib.h>

void Assign_Value(void)
 {
   int* p = (int*)calloc(5, sizeof(int));
   /* Fix: Check if p is NULL */
   if(p!=NULL) *p = 2; 
   free(p);
 }
Проблема

Указатель, перезаписанный во время перераспределения, происходит, когда вы перезаписываете исходный указатель возвращаемым значением realloc(). Например:

p = realloc(p,SIZE);

Риск

Функциональный realloc() возвращает NULL значение, когда выделение памяти перестало работать. В предыдущем коде, потому что вы перезаписываете p возвратом realloc(), это становится NULL когда операция перераспределения перестала работать. Вы теряете связь между исходным блоком памяти и p, получившийся в утечке памяти.

Исправление

При перераспределении указателей сохраните исходный указатель. Например, вы можете использовать временную переменную, чтобы сохранить перераспределенную память.

Пример — старается не перезаписывать исходный указатель при перераспределении памяти
#include <stdlib.h>
//...
void foo (int* ptrI, size_t new_size)
{

  if (new_size == 0) {
    /* Handle error */
    return;
  }

  ptrI = (int*)realloc (ptrI, new_size);   //Noncompliant

  if (ptrI == NULL) {
    /* Handle error */
    return;
  }
}

Перезапись указателя ptrI указателем, возвращенным realloc уничтожает ассоциацию между ptrI и исходный блок памяти. Если realloc сбои, такая перезапись может вызвать потеря данных и утечка памяти.

Коррекция — хранилище перераспределенная память во временной переменной

При перераспределении указателя используйте временную переменную, чтобы содержать перераспределенную память. Прежде, чем присвоить временную переменную ptrI, проверяйте его на NULL значение, чтобы избежать утечек памяти и потери данных.

#include <stdlib.h>

void foo (int* ptrI, size_t new_size)
{
int* temp;
  if (new_size == 0) {
    /* Handle error */
    return;
  }

  temp = (int*)realloc (ptrI, new_size);   //Noncompliant

  if (temp == NULL) {
    /* Handle error */
    return;
  }else{
	  ptrI = temp;
  }
}

Проверяйте информацию

Группа: правило 12. Обработка ошибок (ERR)
Введенный в R2019a

[1] Это программное обеспечение было создано MathWorks, включающим фрагменты: “Веб-сайт SEI CERT-C”, © 2017 Carnegie Mellon University, веб-сайт SEI CERT-C © 2017 Carnegie Mellon University”, CERT SEI C Кодирование Стандарта – Правил для Разработки безопасных, Надежных и Защищенных систем – 2 016 Выпусков”, © 2016 Carnegie Mellon University, and “CERT SEI Стандарт Кодирования C++ – Правил для Разработки безопасных, Надежных и Защищенных систем на C++ – 2 016 Выпусков” © 2016 Carnegie Mellon University, со специальным разрешением от его Института программной инженерии.

ЛЮБОЙ МАТЕРИАЛ УНИВЕРСИТЕТА КАРНЕГИ-МЕЛЛОН И/ИЛИ ЕГО ИНСТИТУТА ПРОГРАММНОЙ ИНЖЕНЕРИИ СОДЕРЖАЛ, ЗДЕСЬ ПРЕДОСТАВЛЯЕТСЯ НА БАЗИСЕ "ASIS". УНИВЕРСИТЕТ КАРНЕГИ-МЕЛЛОН НЕ ДАЕТ ГАРАНТИЙ НИКАКОГО ВИДА, ИЛИ ОПИСАЛ ИЛИ ПОДРАЗУМЕВАЛ, ОТНОСИТЕЛЬНО ЛЮБОГО ВОПРОСА ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИЛ, ГАРАНТИЯ ПРИГОДНОСТИ ДЛЯ ЦЕЛИ ИЛИ ВЫСОКОГО СПРОСА, ИСКЛЮЧИТЕЛЬНОСТИ, ИЛИ ЗАКАНЧИВАЕТСЯ ПОЛУЧЕННЫЙ ИЗ ИСПОЛЬЗОВАНИЯ МАТЕРИАЛА. УНИВЕРСИТЕТ КАРНЕГИ-МЕЛЛОН НЕ ДАЕТ ГАРАНТИИ НИКАКОГО ВИДА ОТНОСИТЕЛЬНО СВОБОДЫ ОТ ПАТЕНТА, ТОВАРНОГО ЗНАКА ИЛИ НАРУШЕНИЯ АВТОРСКОГО ПРАВА.

Это программное обеспечение и сопоставленная документация не были рассмотрены, ни являются подтвержденным Университетом Карнеги-Меллон или его Институтом программной инженерии.