CWE-119

Improper Restriction of Operations within the Bounds of a Memory Buffer

AI Translation Available

The product performs operations on a memory buffer, but it reads from or writes to a memory location outside the buffer's intended boundary. This may result in read or write operations on unexpected memory locations that could be linked to other variables, data structures, or internal program data.

Status

stable

Abstraction

class

Likelihood

high

Affected Platforms

Assembly C C++ Memory-Unsafe

Technical Details

AI Translation

Common Consequences

integrity confidentiality availability

Impacts

execute unauthorized code or commands modify memory read memory dos: crash, exit, or restart dos: resource consumption (cpu) dos: resource consumption (memory)

Detection Methods

automated static analysis automated dynamic analysis automated static analysis - binary or bytecode manual static analysis - binary or bytecode dynamic analysis with automated results interpretation dynamic analysis with manual results interpretation manual static analysis - source code automated static analysis - source code architecture or design review

Potential Mitigations

Phases:

operation build and compilation implementation requirements architecture and design

Descriptions:

• Use a vetted library or framework that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid. Examples include the Safe C String Library (SafeStr) by Messier and Viega [REF-57], and the Strsafe.h library from Microsoft [REF-56]. These libraries provide safer versions of overflow-prone string-handling functions.

• Consider adhering to the following rules when allocating and managing an application's memory: - Double check that the buffer is as large as specified. - When using functions that accept a number of bytes to copy, such as strncpy(), be aware that if the destination buffer size is equal to the source buffer size, it may not NULL-terminate the string. - Check buffer boundaries if accessing the buffer in a loop and make sure there is no danger of writing past the allocated space. - If necessary, truncate all input strings to a reasonable length before passing them to the copy and concatenation functions.

• Run or compile the software using features or extensions that randomly arrange the positions of a program's executable and libraries in memory. Because this makes the addresses unpredictable, it can prevent an attacker from reliably jumping to exploitable code. Examples include Address Space Layout Randomization (ASLR) [REF-58] [REF-60] and Position-Independent Executables (PIE) [REF-64]. Imported modules may be similarly realigned if their default memory addresses conflict with other modules, in a process known as "rebasing" (for Windows) and "prelinking" (for Linux) [REF-1332] using randomly generated addresses. ASLR for libraries cannot be used in conjunction with prelink since it would require relocating the libraries at run-time, defeating the whole purpose of prelinking. For more information on these techniques see D3-SAOR (Segment Address Offset Randomization) from D3FEND [REF-1335].

• Replace unbounded copy functions with analogous functions that support length arguments, such as strcpy with strncpy. Create these if they are not available.

• Use a CPU and operating system that offers Data Execution Protection (using hardware NX or XD bits) or the equivalent techniques that simulate this feature in software, such as PaX [REF-60] [REF-61]. These techniques ensure that any instruction executed is exclusively at a memory address that is part of the code segment. For more information on these techniques see D3-PSEP (Process Segment Execution Prevention) from D3FEND [REF-1336].

• Use a language that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid. For example, many languages that perform their own memory management, such as Java and Perl, are not subject to buffer overflows. Other languages, such as Ada and C#, typically provide overflow protection, but the protection can be disabled by the programmer. Be wary that a language's interface to native code may still be subject to overflows, even if the language itself is theoretically safe.

• Use automatic buffer overflow detection mechanisms that are offered by certain compilers or compiler extensions. Examples include: the Microsoft Visual Studio /GS flag, Fedora/Red Hat FORTIFY_SOURCE GCC flag, StackGuard, and ProPolice, which provide various mechanisms including canary-based detection and range/index checking. D3-SFCV (Stack Frame Canary Validation) from D3FEND [REF-1334] discusses canary-based detection in detail.

Functional Areas

memory management

AI Generated Translation

Common Consequences

integrità riservatezza disponibilità

Impacts

eseguire codice o comandi non autorizzati modificare memoria leggere memoria dos: crash, uscita o riavvio dos: consumo di risorse (cpu) dos: consumo di risorse (memoria)

Detection Methods

analisi statica automatizzata analisi dinamica automatizzata analisi statica automatizzata - binario o bytecode analisi statica manuale - binario o bytecode analisi dinamica con interpretazione automatica dei risultati analisi dinamica con interpretazione manuale dei risultati analisi statica manuale - codice sorgente analisi statica automatizzata - codice sorgente revisione dell'architettura o del design

Potential Mitigations

Phases:

operazione compilazione e build implementazione requisiti architettura e design

Descriptions:

• Utilizzare una libreria o un framework verificato che non consenta che questa vulnerabilità si verifichi o che offra costrutti che rendano più facile evitarla. Esempi includono la Safe C String Library (SafeStr) di Messier e Viega [REF-57], e la libreria Strsafe.h di Microsoft [REF-56]. Queste librerie forniscono versioni più sicure delle funzioni di gestione delle stringhe soggette a overflow.

• Considera di seguire le seguenti regole quando allocare e gestire la memoria di un'applicazione: - Verifica attentamente che il buffer sia delle dimensioni specificate. - Quando utilizzi funzioni che accettano un numero di byte da copiare, come strncpy(), sii consapevole che se la dimensione del buffer di destinazione è uguale a quella del buffer di origine, potrebbe non terminare la stringa con NULL. - Controlla i limiti del buffer se accedi al buffer all’interno di un ciclo e assicurati che non ci sia il rischio di scrivere oltre lo spazio allocato. - Se necessario, tronca tutte le stringhe di input a una lunghezza ragionevole prima di passarle alle funzioni di copia e concatenazione.

• Eseguire o compilare il software utilizzando funzionalità o estensioni che disporranno casualmente le posizioni di un programma eseguibile e delle librerie in memoria. Poiché ciò rende gli indirizzi imprevedibili, può impedire a un attaccante di saltare in modo affidabile a codice sfruttabile. Esempi includono Address Space Layout Randomization (ASLR) [REF-58] [REF-60] e Position-Independent Executables (PIE) [REF-64]. I moduli importati possono essere riallineati in modo simile se i loro indirizzi di memoria predefiniti confliggono con altri moduli, in un processo noto come "rebasing" (per Windows) e "prelinking" (per Linux) [REF-1332], utilizzando indirizzi generati casualmente. L'ASLR per le librerie non può essere utilizzato in combinazione con il prelinking, poiché richiederebbe di spostare le librerie in fase di esecuzione, vanificando l'intero scopo del prelinking. Per ulteriori informazioni su queste tecniche, consultare D3-SAOR (Segment Address Offset Randomization) di D3FEND [REF-1335].

• Sostituisci le funzioni di copia non limitata con funzioni analoghe che supportano argomenti di lunghezza, come strcpy con strncpy. Crea queste funzioni se non sono disponibili.

• Utilizzare una CPU e un sistema operativo che offrano Data Execution Protection (utilizzando hardware NX o XD bits) o tecniche equivalenti che simulano questa funzionalità in software, come PaX [REF-60] [REF-61]. Queste tecniche garantiscono che qualsiasi istruzione eseguita sia esclusivamente a un indirizzo di memoria che fa parte del segmento di codice. Per ulteriori informazioni su queste tecniche, consultare D3-PSEP (Process Segment Execution Prevention) di D3FEND [REF-1336].

• Usa un linguaggio che non consenta questa vulnerabilità o che offra costrutti che rendano più facile evitarla. Ad esempio, molti linguaggi che gestiscono la memoria autonomamente, come Java e Perl, non sono soggetti a buffer overflow. Altri linguaggi, come Ada e C#, di solito forniscono protezioni contro gli overflow, ma tali protezioni possono essere disattivate dal programmatore. Fai attenzione che l'interfaccia di un linguaggio con codice nativo possa comunque essere soggetta a overflow, anche se il linguaggio stesso è teoricamente sicuro.

• Utilizzare meccanismi di rilevamento automatico di buffer overflow offerti da alcuni compilatori o estensioni del compilatore. Esempi includono: il flag /GS di Microsoft Visual Studio, il flag FORTIFY_SOURCE di Fedora/Red Hat GCC, StackGuard e ProPolice, che forniscono vari meccanismi tra cui il rilevamento basato su canary e il controllo di intervallo/indice. D3-SFCV (Stack Frame Canary Validation) di D3FEND [REF-1334] approfondisce il rilevamento basato su canary in modo dettagliato.

Functional Areas

gestione della memoria

CWE-119

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Functional Areas

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Functional Areas

Iscriviti alla newsletter