Affected Platforms

C C++ Memory-Unsafe

Extended Description

AI Translation

When the size of the destination is smaller than the size of the source, a buffer overflow could occur.

Technical Details

AI Translation

Common Consequences

availability integrity confidentiality access control

Impacts

modify memory dos: crash, exit, or restart dos: resource consumption (cpu) read memory execute unauthorized code or commands bypass protection mechanism

Detection Methods

automated static analysis automated dynamic analysis

Potential Mitigations

Phases:

architecture and design operation build and compilation implementation

Descriptions:

• Use automatic buffer overflow detection mechanisms that are offered by certain compilers or compiler extensions. Examples include: the Microsoft Visual Studio /GS flag, Fedora/Red Hat FORTIFY_SOURCE GCC flag, StackGuard, and ProPolice, which provide various mechanisms including canary-based detection and range/index checking. D3-SFCV (Stack Frame Canary Validation) from D3FEND [REF-1334] discusses canary-based detection in detail.

• Use an abstraction library to abstract away risky APIs. Examples include the Safe C String Library (SafeStr) by Viega, and the Strsafe.h library from Microsoft. This is not a complete solution, since many buffer overflows are not related to strings.

• Programmers should adhere to the following rules when allocating and managing their applications memory: Double check that your buffer is as large as you specify. When using functions that accept a number of bytes to copy, such as strncpy(), be aware that if the destination buffer size is equal to the source buffer size, it may not NULL-terminate the string. Check buffer boundaries if calling this function in a loop and make sure there is no danger of writing past the allocated space. Truncate all input strings to a reasonable length before passing them to the copy and concatenation functions.

• Use a CPU and operating system that offers Data Execution Protection (using hardware NX or XD bits) or the equivalent techniques that simulate this feature in software, such as PaX [REF-60] [REF-61]. These techniques ensure that any instruction executed is exclusively at a memory address that is part of the code segment. For more information on these techniques see D3-PSEP (Process Segment Execution Prevention) from D3FEND [REF-1336].

• Run or compile the software using features or extensions that randomly arrange the positions of a program's executable and libraries in memory. Because this makes the addresses unpredictable, it can prevent an attacker from reliably jumping to exploitable code. Examples include Address Space Layout Randomization (ASLR) [REF-58] [REF-60] and Position-Independent Executables (PIE) [REF-64]. Imported modules may be similarly realigned if their default memory addresses conflict with other modules, in a process known as "rebasing" (for Windows) and "prelinking" (for Linux) [REF-1332] using randomly generated addresses. ASLR for libraries cannot be used in conjunction with prelink since it would require relocating the libraries at run-time, defeating the whole purpose of prelinking. For more information on these techniques see D3-SAOR (Segment Address Offset Randomization) from D3FEND [REF-1335].

• Most mitigating technologies at the compiler or OS level to date address only a subset of buffer overflow problems and rarely provide complete protection against even that subset. It is good practice to implement strategies to increase the workload of an attacker, such as leaving the attacker to guess an unknown value that changes every program execution.

Functional Areas

memory management

AI Generated Translation

Common Consequences

disponibilità integrità riservatezza controllo degli accessi

Impacts

modificare memoria dos: crash, uscita o riavvio dos: consumo di risorse (cpu) leggere memoria eseguire codice o comandi non autorizzati elusione del meccanismo di protezione

Detection Methods

analisi statica automatizzata analisi dinamica automatizzata

Potential Mitigations

Phases:

architettura e design operazione compilazione e build implementazione

Descriptions:

• Utilizzare meccanismi di rilevamento automatico di buffer overflow offerti da alcuni compilatori o estensioni del compilatore. Esempi includono: il flag /GS di Microsoft Visual Studio, il flag FORTIFY_SOURCE di Fedora/Red Hat GCC, StackGuard e ProPolice, che forniscono vari meccanismi tra cui il rilevamento basato su canary e il controllo di intervallo/indice. D3-SFCV (Stack Frame Canary Validation) di D3FEND [REF-1334] approfondisce il rilevamento basato su canary in modo dettagliato.

• Utilizzare una libreria di astrazione per eliminare le API rischiose. Esempi includono la Safe C String Library (SafeStr) di Viega e la libreria Strsafe.h di Microsoft. Questa non è una soluzione completa, poiché molti buffer overflow non sono correlati alle stringhe.

• Gli sviluppatori dovrebbero seguire le seguenti regole quando allocano e gestiscono la memoria delle loro applicazioni: verificare attentamente che il buffer sia delle dimensioni specificate. Quando si utilizzano funzioni che accettano un numero di byte da copiare, come strncpy(), essere consapevoli che se la dimensione del buffer di destinazione è uguale a quella del buffer di origine, potrebbe non terminare la stringa con NULL. Controllare i limiti del buffer se si chiama questa funzione all’interno di un ciclo e assicurarsi che non ci siano rischi di scrivere oltre lo spazio allocato. Troncare tutte le stringhe di input a una lunghezza ragionevole prima di passarle alle funzioni di copia e concatenazione.

• Utilizzare una CPU e un sistema operativo che offrano Data Execution Protection (utilizzando hardware NX o XD bits) o tecniche equivalenti che simulano questa funzionalità in software, come PaX [REF-60] [REF-61]. Queste tecniche garantiscono che qualsiasi istruzione eseguita sia esclusivamente a un indirizzo di memoria che fa parte del segmento di codice. Per ulteriori informazioni su queste tecniche, consultare D3-PSEP (Process Segment Execution Prevention) di D3FEND [REF-1336].

• Eseguire o compilare il software utilizzando funzionalità o estensioni che disporranno casualmente le posizioni di un programma eseguibile e delle librerie in memoria. Poiché ciò rende gli indirizzi imprevedibili, può impedire a un attaccante di saltare in modo affidabile a codice sfruttabile. Esempi includono Address Space Layout Randomization (ASLR) [REF-58] [REF-60] e Position-Independent Executables (PIE) [REF-64]. I moduli importati possono essere riallineati in modo simile se i loro indirizzi di memoria predefiniti confliggono con altri moduli, in un processo noto come "rebasing" (per Windows) e "prelinking" (per Linux) [REF-1332], utilizzando indirizzi generati casualmente. L'ASLR per le librerie non può essere utilizzato in combinazione con il prelinking, poiché richiederebbe di spostare le librerie in fase di esecuzione, vanificando l'intero scopo del prelinking. Per ulteriori informazioni su queste tecniche, consultare D3-SAOR (Segment Address Offset Randomization) di D3FEND [REF-1335].

• Le tecnologie di mitigazione più efficaci a livello di compilatore o sistema operativo fino ad oggi affrontano solo un sottoinsieme dei problemi di buffer overflow e raramente forniscono una protezione completa anche per quel sottoinsieme. È buona norma implementare strategie per aumentare il carico di lavoro di un attaccante, come ad esempio lasciarlo indovinare un valore sconosciuto che cambia ad ogni esecuzione del programma.

Functional Areas

gestione della memoria

CWE-806

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Functional Areas

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Functional Areas

Iscriviti alla newsletter