Ασφαλής προγραμματισμός σε γλώσσα C

Σχετικά έγγραφα
Προγραμματισμός Ι. Δυναμική Διαχείριση Μνήμης. Δημήτρης Μιχαήλ. Ακ. Έτος Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

Ανάπτυξη και Σχεδίαση Λογισμικού

Διαδικασιακός Προγραμματισμός

Δομημένος Προγραμματισμός

Προγραμματισμός Ι (ΗΥ120)

Περιεχόμενα. Πρόλογος... 21

Διάλεξη 2: Επανάληψη Προγραμματισμού Συμβολοσειρές (strings) Διδάσκων: Παναγιώτης Ανδρέου

Ανάπτυξη και Σχεδίαση Λογισμικού

Ανάπτυξη και Σχεδίαση Λογισμικού

ΒΑΣΙΚΟΙ ΤΥΠΟΙ ΚΑΙ ΠΙΝΑΚΕΣ

Η γλώσσα προγραμματισμού C Δυναμική διαχείριση μνήμης

Τεχνικές εκμετάλλευσης τρωτοτήτων ασφάλειας πυρήνα. census, inc IT security research, development and services

Περιεχόμενα. Πρόλογος... 17

Chapter 2. Εντολές : Η γλώσσα του υπολογιστή. (συνέχεια) Η διασύνδεση Υλικού και λογισμικού David A. Patterson και John L.

Προγραμματισμός Ι. Δείκτες. Δημήτρης Μιχαήλ. Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

#define, 70, 575 #elif, 580 #else, 580 #endif, 580 #error, 584 #if, 580 #ifdef, 583 #ifndef, 580, 583 #include, 70, 227, 574 #undef, 579

Προγραμματισμός Δομές Δεδομένων

Chapter 2. Εντολές : Η γλώσσα του υπολογιστή. (συνέχεια) Η διασύνδεση Υλικού και λογισμικού David A. Patterson και John L.

Προγραμματισμός Η/Υ (ΤΛ2007 )

Εισαγωγή στον Προγραμματισμό

Διάλεξη 9: Δυναμική Δέσμευση Μνήμης

Διάλεξη 2η: Αλγόριθμοι και Προγράμματα

Δομημένος Προγραμματισμός

Εισαγωγή εκτελέσιμου κώδικα σε διεργασίες

Ασφάλεια και ΕΛ/ΛΑΚ. Πάτροκλος Αργυρούδης Δημήτρης Γλυνός Νίκος Τσαγκαράκης

Δυναμική δέσμευση και αποδέσμευση μνήμης. Προγραμματισμός II 1

Διάλεξη 3η: Τύποι Μεταβλητών, Τελεστές, Είσοδος/Έξοδος

Κλήση Συναρτήσεων ΚΛΗΣΗ ΣΥΝΑΡΤΗΣΕΩΝ. Γεώργιος Παπαϊωάννου ( )

ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΥΠΟΛΟΓΙΣΤΩΝ & ΥΠΟΛΟΓΙΣΤΙΚΗ ΦΥΣΙΚΗ

ΕΠΛ232 Προγραμματιστικές Τεχνικές και Εργαλεία Δυναμική Δέσμευση Μνήμης (Κεφάλαιο , KNK-2ED)

#include <stdlib.h> Α. [-128,127] Β. [-127,128] Γ. [-128,128]

Προγραμματισμός Ι. Είσοδος/Έξοδος. Δημήτρης Μιχαήλ. Ακ. Έτος Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

Διδάσκων: Κωνσταντίνος Κώστα Διαφάνειες: Δημήτρης Ζεϊναλιπούρ

ΤΕΧΝΙΚΕΣ ΑΝΤΙΚΕΙΜΕΝΟΣΤΡΑΦΟΥΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ. Αναφορές Στοίβα και Σωρός Μνήμης Αντικείμενα ως ορίσματα

Δείκτες και Δομές. Info. Link. typedef struct NodeTag { InfoField Info; struct NodeTag *Link; } NodeType;

Προγραμματισμό για ΗΜΥ

Δομημένος Προγραμματισμός. Τμήμα Επιχειρηματικού Σχεδιασμού και Πληροφοριακών Συστημάτων

ΤΕΧΝΙΚΕΣ ΑΝΤΙΚΕΙΜΕΝΟΣΤΡΑΦΟΥΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ. Αναφορές Στοίβα και Σωρός Αναφορές-Παράμετροι

Μεταγλώττιση και σύνδεση πολλαπλών αρχείων κώδικα. Προγραμματισμός II 1

Διάλεξη 22η: Επιπλέον στοιχεία της C

Εργαστήριο Λειτουργικών Συστημάτων 8o εξάμηνο, Ροή Υ, ΗΜΜΥ

Διάλεξη 13η: Δυναμική Διαχείρηση Μνήμης, μέρος 1

Η γλώσσα προγραμματισμού C

Εισαγωγή στον Προγραµµατισµό. Διάλεξη 2 η : Βασικές Έννοιες της γλώσσας προγραµµατισµού C Χειµερινό Εξάµηνο 2011

Τμήμα Πληροφορικής & Επικοινωνιών Δρ. Θεόδωρος Γ. Λάντζος

Δομημένος Προγραμματισμός

ΔΕΙΚΤΕΣ ΚΑΙ ΔΙΕΥΘΥΝΣΕΙΣ

Προγραμματισμός Ι. Δομές Δεδομένων. Δημήτρης Μιχαήλ. Ακ. Έτος Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

Εισαγωγή στους Η/Υ. Γιώργος Δημητρίου. Μάθημα 3-4: Προγραμματισμός MIPS. Πανεπιστήμιο Θεσσαλίας - Τμήμα Πληροφορικής

Διάλεξη 5: Δείκτες και Συναρτήσεις

Sheet2 Α.Μ FAIL. οριακό PASS. - Έπρεπε να χρησιµοποιήσετε συναρτήσεις από τη string.h

Διαδικασιακός Προγραμματισμός

Α Β Γ static; printf("%c\n", putchar( A +1)+2); B DB BD. int i = 0; while (++i); printf("*");

Προγραμματισμός Ι. Προεπεξεργαστής. Δημήτρης Μιχαήλ. Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

ΠΑΡΑΡΤΗΜΑ: QUIZ ΔΟΜΕΣ ΔΕΔΟΜΕΝΩΝ

Προγραμματισμός Ι. Προχωρημένα Θέματα. Δημήτρης Μιχαήλ. Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

Στην ενότητα αυτή θα µελετηθούν τα εξής επιµέρους θέµατα: ΕΠΛ 131 Αρχές Προγραµµατισµού I 3-2

ιαφάνειες παρουσίασης #5 (β)

Α. unsigned int Β. double. Γ. int. unsigned char x = 1; x = x + x ; x = x * x ; x = x ^ x ; printf("%u\n", x); Β. unsigned char

Ανάπτυξη και Σχεδίαση Λογισμικού

ΚΕΦΑΛΑΙΟ 2: Τύποι δεδομένων και εμφάνιση στοιχείων...33

Προγραμματισμός Ι (ΗΥ120)

ΤΕΧΝΙΚΕΣ ΑΝΤΙΚΕΙΜΕΝΟΣΤΡΑΦΟΥΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ. Αναφορές Αντικείμενα ως ορίσματα

Εισαγωγή στον Προγραμματισμό (με. τη C)

Η πρώτη παράμετρος είναι ένα αλφαριθμητικό μορφοποίησης

ΤΕΧΝΙΚΕΣ ΑΝΤΙΚΕΙΜΕΝΟΣΤΡΑΦΟΥΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ. Κλάσεις και Αντικείμενα Αναφορές

Δομημένος Προγραμματισμός. Τμήμα Επιχειρηματικού Σχεδιασμού και Πληροφοριακών Συστημάτων

Δομημένος Προγραμματισμός (ΤΛ1006)

Προγραμματισμός Η/Υ (ΤΛ2007 )

ΕΙΣΑΓΩΓΗ ΣΤΟ ΔΟΜΗΜΕΝΟ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟ

Πίνακες: μια σύντομη εισαγωγή. Πίνακες χαρακτήρων: τα "Αλφαριθμητικά"

Διδάσκων: Κωνσταντίνος Κώστα Διαφάνειες: Δημήτρης Ζεϊναλιπούρ

Προγραμματισμός Ι. Εγγραφές. Δημήτρης Μιχαήλ. Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

Προγραμματισμός Υπολογιστών & Υπολογιστική Φυσική

Προγραμματισμός Ι. Δομές & Ενώσεις. Πανεπιστήμιο Πελοποννήσου Τμήμα Πληροφορικής & Τηλεπικοινωνιών

lab13grades Άσκηση 2 -Σωστά απελευθερώνετε ολόκληρη τη λίστα και την κεφαλή

Οικονόμου Βαγγέλησ Διάλεξη Νο 2. Δομημένοσ Προγραμματιςμόσ - Διάλεξη 2

Διδάσκων: Παναγιώτης Ανδρέου

Ενδεικτική περιγραφή μαθήματος

Αντικειμενοστραφείς Γλώσσες Προγραμματισμού C++ / ROOT

Η γλώσσα προγραμματισμού C

Προγραμματισμός Ι. Πολλαπλά Αρχεία. Δημήτρης Μιχαήλ. Τμήμα Πληροφορικής και Τηλεματικής Χαροκόπειο Πανεπιστήμιο

Μνήμη Διευθύνσεις Δείκτες. Προγραμματισμός II 1

Διάλεξη 06: Συνδεδεμένες Λίστες & Εφαρμογές Στοιβών και Ουρών

ΕΠΛ233 Βασικά στοιχεία προγραµµατισµού στη JAVA

υναµικές οµές εδοµένων

Προγραμματισμός Η/Υ (ΤΛ2007 )

ΤΕΧΝΙΚΕΣ ΑΝΤΙΚΕΙΜΕΝΟΣΤΡΑΦΟΥΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ. Αναφορές Στοίβα και Σωρός μνήμης Αντικείμενα παράμετροι String Interning

Κεφάλαιο Αλφαριθμητικές Σειρές Χαρακτήρων (Strings) (Διάλεξη 20) 1) Strings στη C

Περιεχόμενα. Λίγα λόγια για αυτή την έκδοση... 23

Διάλεξη 20: Χαμηλού Επιπέδου Προγραμματισμός II

Διδάσκων: Κωνσταντίνος Κώστα Διαφάνειες: Δημήτρης Ζεϊναλιπούρ

Δομημένος Προγραμματισμός (ΤΛ1006)

Επανάληψη για τις Τελικές εξετάσεις. (Διάλεξη 24) ΕΠΛ 032: ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΜΕΘΟΔΩΝ ΕΠΙΛΥΣΗΣ ΠΡΟΒΛΗΜΑΤΩΝ

ΠΛΗ111. Ανοιξη Μάθηµα 1 ο Ανασκόπηση της Γλώσσας Προγραµµατισµού C. Τµήµα Ηλεκτρονικών Μηχανικών και Μηχανικών Υπολογιστών Πολυτεχνείο Κρήτης

Το λειτουργικό σύστημα. Προγραμματισμός II 1

Στοίβες με Δυναμική Δέσμευση Μνήμης

Βιβλιοθήκες Αφηρημένοι τύποι δεδομένων. Προγραμματισμός II 1

Κεφάλαιο : Εισαγωγή στην C. ( ιαλέξεις 3-4) ιδάσκων: ηµήτρης Ζεϊναλιπούρ

Προγραμματισμός Η/Υ 1 (Εργαστήριο)

Transcript:

Ασφαλής προγραμματισμός σε γλώσσα C Πάτροκλος Αργυρούδης Δημήτρης Γλυνός IT security research, development and services {argp, dimitris}@censusgr Συνέδριο Δημιουργών ΕΛ/ΛΑΚ 19-20 Ιουνίου 2009 census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 1 / 27

Εισαγωγή 1 Κενά ασφάλειας στη γλώσσα C 2 Κατηγορίες σφαλμάτων 3 Επικίνδυνες συναρτήσεις 4 Σφάλματα σε σύγχρονο λογισμικό 5 Θωράκιση λογισμικού 6 Συμπεράσματα census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 2 / 27

Κενά ασφάλειας στη γλώσσα C Η γλώσσα C έχει σχεδιαστεί με βάση τη φιλοσοφία της παροχής ελευθερίας στον προγραμματιστή κατά τη διαδικασία ανάπτυξης λογισμικού Αυθαίρετες μετατροπές μεταξύ τύπων δεδομένων Πλήρης έλεγχος κατά τη δέσμευση και αποδέσμευση μνήμης Αναφορές σε αυθαίρετες θέσεις μνήμης Χρήση αυθαίρετων δεικτών σε πίνακες Εκτέλεση κώδικα από αυθαίρετες θέσεις μνήμης Η λανθασμένη χρήση αυτής της ελευθερίας οδηγεί συχνά σε προγραμματιστικά σφάλματα Από τα οποία προκύπτουν κενά ασφάλειας census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 3 / 27

Κατηγορίες σφαλμάτων census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 4 / 27

Υπερχείλιση μνήμης στη στοίβα Πολύ γνωστό και κατανοητό πρόβλημα, υπερχείλιση τοπικών μεταβλητών από αντιγραφή δεδομένων χωρίς έλεγχο ορίων Κορυφή στοίβας ESP Χαμηλές διευθύνσεις local_buffer local_char δείκτης π λαισίου στοίβας (SFP) EBP - 4 EBP Ροή επ έκτασης δεδομένων Ροή επ έκτασης στοίβας διεύθυνση επιστροφής arg_1 EBP + 4 arg_2 EBP + 8 Προηγούμενες συναρτήσεις, π χ main void func(int arg_1, char *arg_2) { char local_char; char local_buffer[512]; strcpy(local_buffer, arg_2); } Υψηλές διευθύνσεις Καταχωρητές census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 5 / 27

Υπερχείλιση μνήμης στο σωρό Επικάλυψη δυναμικών δομών > Κενά ασφάλειας: εξαρτώμενα από την εφαρμογή Δείκτες συναρτήσεων Σημαντικά δεδομένα για τη λογική της εφαρμογής, πχ σημαίες ταυτοποίησης (authentication flags) Επικάλυψη δομών διαχείρισης του σωρού > Κενά ασφάλειας: εξαρτώμενα από την υλοποίηση του σωρού glibc: διπλά συνδεδεμένη λίστα για τη διαχείριση της μνήμης που δεσμεύει (και αποδεσμεύει) ένα πρόγραμμα Αλλοίωση των δομών της λίστας οδηγεί σε αυθαίρετη επικάλυψη μνήμης κατά τη διαγραφή κόμβων από τη λίστα census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 6 / 27

Παρά-ένα λάθη (off-by-one) Λάθη κατά τα οποία ο υπολογισμός μεγέθους μίας περιοχής μνήμης είναι ανακριβής για ένα byte Συνήθεις αιτίες Τα strings στη C απαιτούν ένα byte επιπλέον για να τερματιστούν Παρανόηση του τρόπου με τον οποίο λειτουργούν οι πίνακες Παρουσιάζονται στη στοίβα και στο σωρό Η εκμετάλλευσή τους (σε i386 και στη στοίβα) εξαρτάται από το αν η προβληματική περιοχή μνήμης βρίσκεται ακριβώς μετά από τον αποθηκευμένο δείκτη πλαισίου (SFP) census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 7 / 27

Παράλειψη προσδιοριστή μορφής (format string) Παράλειψη του προσδιοριστή μορφής ``%s'' σε συναρτήσεις της οικογένειας printf(3) (αλλά και σε άλλες, όπως πχ syslog(3)) Η προβληματική συνάρτηση αναζητά τους παραλειπόμενους προσδιοριστές στη στοίβα Επιτρέπει την αυθαίρετη διαμόρφωση του προσδιοριστή μορφής Μπορεί να έχει ως αποτέλεσμα τη διαρροή δεδομένων από τη στοίβα (διευθύνσεις, τιμές μεταβλητών, κτλ), την αυθαίρετη επικάλυψη μνήμης census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 8 / 27

Υπερχείλιση ακέραιων μεταβλητών Οι ακέραιες μεταβλητές έχουν τη δυνατότητα να αποθηκεύσουν τιμές συγκεκριμένου εύρους -INT_MAX-1 <= int <= INT_MAX, INT_MAX == 2147483647 0 <= unsigned int <= UINT_MAX, UINT_MAX == 4294967295 Αν ξεπεραστεί η μέγιστη τιμή, πχ ως αποτέλεσμα κάποιας πρόσθεσης ή πολλαπλασιασμού, έχουμε αναδίπλωση Γενικά δεν είναι εκμεταλλεύσιμο σφάλμα, δεν υπάρχει άμεση επικάλυψη μνήμης από την υπερχείλιση Συχνά όμως ο προβληματικός ακέραιος χρησιμοποιείται ως θέση στοιχείου σε πίνακα ή κατά τη δυναμική δέσμευση μνήμης Υπερχείλιση ή/και αυθαίρετη επικάλυψη μνήμης census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 9 / 27

Σφάλματα προσήμου (signedness) Στα σφάλματα προσήμου μία μεταβλητή δίχως πρόσημο (unsigned) ερμηνεύεται σαν να έχει πρόσημο (signed) Και το αντίστροφο Παρουσιάζονται σε περιπτώσεις όπου ακέραιοι με πρόσημο χρησιμοποιούνται σε συγκρίσεις, χρησιμοποιούνται σε αριθμητικές πράξεις, συγκρίνονται με ακέραιους δίχως πρόσημο, υπερχειλίζουν, αναδιπλώνονται και αλλάζουν πρόσημο Η εκμετάλλευσή τους από κακόβουλους χρήστες δεν είναι πάντα απλή Η τιμή -1 όταν ερμηνευτεί δίχως πρόσημο είναι 4294967295 (~4GB) census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 10 / 27

Άλλες κατηγορίες σφαλμάτων Διαρροή ευαίσθητων δεδομένων Συνθηματικών, κλειδιών κρυπτογράφησης, εσωτερικών δομών και διαδικασιών της εφαρμογής Μπορεί να επιτρέψει την παρά πέρα εκμετάλλευση σφαλμάτων Συνθήκες ανταγωνισμού Η υλοποίηση μίας εννοιολογικά αδιαίρετης διαδικασίας διασπάται σε τμήματα επιτρέποντας εξωτερικές παρεμβάσεις Κάποιο αντικείμενο του συστήματος (πχ πόροι, προνόμια) αλλάζει κατάσταση μεταξύ του ελέγχου και της χρήσης του Προσωρινά αρχεία census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 11 / 27

Επικίνδυνες συναρτήσεις census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 12 / 27

Επικίνδυνες συναρτήσεις της βασικής βιβλιοθήκης gets(3), scanf(3), sprintf(3), strcpy(3), strcat(3), char *strncpy(char *dest, const char *src, size_t n); Προτρέπει σε παρά-ένα λάθη τον προγραμματιστή που δεν έχει υπολογίσει προσεκτικά τη τιμή της παραμέτρου n Δεν τερματίζει αυτόματα το dest με NULL με αποτέλεσμα να έχει διαφορετικό μέγεθος από αυτό που πιστεύει ο προγραμματιστης Λανθασμένη χρήση του τελεστή sizeof buffer[sizeof(buffer)] = NULL; if(strlen(str_input) > sizeof(buffer)) census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 13 / 27

Σφάλματα σε σύγχρονο λογισμικό census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 14 / 27

Mac OS X 1039: bsd/kern/sysv_semc CVE-2005-0971: Σφάλμα προσήμου στη semop(2) int semop(struct proc *p, struct semop_args *uap, register_t *retval) { int semid = uap->semid; int nsops = uap->nsops; struct sembuf sops[max_sops]; if (nsops > MAX_SOPS) { if ((eval = copyin(uap->sops, &sops, nsops * sizeof(struct sembuf)))!= 0) { Διόρθωση (patch) - if (nsops > MAX_SOPS) { + if (nsops < 0 nsops > MAX_SOPS) { census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 15 / 27

FreeBSD 71: kern/kern_timec CVE-2009-1041: Σφάλμα προσήμου στην itimer_find() static struct itimer * itimer_find(struct proc *p, int timerid) { struct itimer *it; if ((p->p_itimers == NULL) (timerid >= TIMER_MAX) (it = p->p_itimers->its_timers[timerid]) == NULL) { return (NULL); } Διόρθωση (patch) - if ((p->p_itimers == NULL) (timerid >= TIMER_MAX) + if ((p->p_itimers == NULL) + (timerid < 0) (timerid >= TIMER_MAX) census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 16 / 27

WU-FTPD 262: realpathc CVE-2003-0466: Παρά-ένα λάθος στην fb_realpath() char * fb_realpath(const char *path, char *resolved) { struct stat sb; int fd, n, rootd, serrno; char *p, *q, wbuf[maxpathlen]; if (resolved[0] == '/' && resolved[1] == NULL) rootd = 1; else rootd = 0; if (*wbuf) { if (strlen(resolved) + strlen(wbuf) + rootd + 1 > MAXPATHLEN) { errno = ENAMETOOLONG; } if (rootd == 0) (void) strcat(resolved, "/"); (void) strcat(resolved, wbuf); } Διόρθωση (patch) - if (strlen(resolved) + strlen(wbuf) + rootd + 1 > MAXPATHLEN) { + if (strlen(resolved) + strlen(wbuf) +!rootd + 1 > MAXPATHLEN) { census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 17 / 27

OpenBSD 28: libexec/ftpd/ftpdc CVE-2001-0053: Παρά-ένα λάθος στη replydirname() replydirname(const char *name, const char *message) { char npath[maxpathlen]; int i; for (i = 0; *name!= NULL && i < sizeof(npath) - 1; i++, name++) { npath[i] = *name; if (*name == '"') npath[++i] = '"'; } npath[i] = NULL; Διόρθωση (patch) + p = npath; + ep = &npath[sizeof(npath) - 1]; census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 18 / 27

OpenSolaris 10: uts/common/os/aioc CVE-2009-0132: Υπερχείλιση ακέραιας μεταβλητής στη aiosuspend() aiosuspend(void *aiocb, int nent, struct timespec *timout, int flag, { aiop = curproc->p_aio; if (aiop == NULL nent <= 0) return (EINVAL); if (model == DATAMODEL_NATIVE) ssize = (sizeof (aiocb_t *) * nent); #ifdef _SYSCALL32_IMPL else ssize = (sizeof (caddr32_t) * nent); #endif /* _SYSCALL32_IMPL */ cbplist = kmem_alloc(ssize, KM_NOSLEEP); Διόρθωση (patch) - if (aiop == NULL nent <= 0) + if (aiop == NULL nent <= 0 nent > _AIO_LISTIO_MAX) census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 19 / 27

FreeBSD 60: net80211/ieee80211_ioctlc CVE-2006-0380: Διαρροή δεδομένων στην ieee80211_ioctl_getchanlist() static int ieee80211_ioctl_getchanlist(struct ieee80211com *ic, struct ieee80211req *ireq) { if (sizeof(ic->ic_chan_active) > ireq->i_len) ireq->i_len = sizeof(ic->ic_chan_active); return copyout(&ic->ic_chan_active, ireq->i_data, ireq->i_len); } Διόρθωση (patch) - if (sizeof(ic->ic_chan_active) > ireq->i_len) + if (sizeof(ic->ic_chan_active) < ireq->i_len) census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 20 / 27

Θωράκιση λογισμικού census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 21 / 27

Κατά τη μεταγλώττιση (1) Χρήση του GNU C Compiler (gcc), της βιβλιοθήκης GNU libc και του GNU linker (ld) gcc -D_FORTIFY_SOURCE=2 -O2 Ανίχνευση (απλών) σφαλμάτων υπερχείλισης μνήμης Αντικατάσταση συναρτήσεων από εναλλακτικές με ελέγχους (πχ sprintf => sprintf_chk) gcc -Wformat=2 Έλεγχος προσδιοριστών μορφής (format strings) gcc -fstack-protector ή -fstack-protector-all SSP: Προστασία δεδομένων της στοίβας με canary Αλλαγή των θέσεων των τοπικών μεταβλητών στη στοίβα census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 22 / 27

Κατά τη μεταγλώττιση (2) gcc -pie -fpie Δημιουργία εκτελέσιμων που ο κώδικας τους μπορεί να φορτωθεί σε τυχαία διεύθυνση μνήμης (position independent executables) ld -z relro -z now ή gcc -Wl,-z,relro,-z,now Προστασία πεδίων GOT και PLT σε ELF εκτελέσιμα census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 23 / 27

Κατά την εκτέλεση (1) Address Space Layout Randomisation Τυχαιοποίηση των διευθύνσεων των σελίδων μνήμης: της στοίβας του σωρού αυτών που δεσμεύονται με mmap(2) (βιβλιοθήκες, malloc(3), κοινή μνήμη κα) του κώδικα μιας εφαρμογής (σε position independent executables) Τυχαιοποίηση της κορυφής της στοίβας (top of stack) Στο Linux η τυχαιοποίηση παραμετροποιείται μέσω του αρχείου /proc/sys/kernel/randomize_va_space ως εξής: 2: τυχαιοποίηση παντού (stack, top of stack, heap, mmap, brk) 1: τυχαιοποίηση παντού εκτός από τη διεύθυνση του σωρού (brk) 0: καμμία τυχαιοποίηση census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 24 / 27

Κατά την εκτέλεση (2) Μη εκτελέσιμες σελίδες μνήμης Υλοποίηση στο hardware AMD NX (No execute) bit Intel XD (execute Disable) bit Υλοποίηση με λογισμικό ExecShield W ^ X Θωράκιση του περιβάλλοντος εκτέλεσης της εφαρμογής παροχή τυχαίων canaries από τo loader και τη libc πολιτική μεταγλώττισης εφαρμογών και βιβλιοθηκών του λειτ συστήματος με γνώμονα την ασφάλεια περιορισμός του περιβάλλοντος εκτέλεσης της εφαρμογής (Solaris zones, BSD jails, Linux containers κλπ) θωράκιση του πυρήνα (CONFIG_CC_STACKPROTECTOR=Y στο Linux) census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 25 / 27

Συμπεράσματα Η ανάπτυξη λογισμικού σε C απαιτεί μεγάλη προσοχή και καλή γνώση των ``σκοτεινών'' σημείων εξαιτίας των ελευθεριών που παρέχει η γλώσσα Προσοχή στο input/output, στη διαχείριση προσωρινής μνήμης και στις πράξεις με ακέραιους Αξιοποίηση των βιβλιοθηκών δυναμικής σύνδεσης Στατικά συνδεδεμένα προγράμματα μένουν απροστάτευτα κατά τις αναβαθμίσεις του συστήματος Χρήση θωρακισμένου λογισμικού Τακτικός έλεγχος πηγαίου κώδικα από τρίτους census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 26 / 27

Παραπομπές Phantasmal Phantasmagoria The malloc maleficarum: glibc malloc exploitation techniques MallocMaleficarumtxt, 2005 klog The frame pointer overwrite Phrack, Volume 9, Issue 55, 1999 blexim Basic integer overflows Phrack, Volume 0x0b, Issue 0x3c, 2002 David A Wheeler Secure Programming for Linux and Unix HOWTO Secure-Programs-HOWTO, v3010, 2003 Mark Dowd, John McDonald and Justin Schuh The art of software security assessment Addison-Wesley, 2006 Debian Wiki Debian hardening options http://wikidebianorg/hardening, 2009 census, inc (wwwcensusgr) Ασφαλής προγραμματισμός σε C 20 Ιουνίου 2009 27 / 27

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια