【缺陷周话】第28期：被污染的内存分配

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

【缺陷周话】第28期：被污染的内存分配

奇安信代码卫士 2019-04-01 09:05:48 214319

代码审计是使用静态分析发现源代码中安全缺陷的方法，辅助开发或测试人员在软件上线前较为全面地了解安全问题，防患于未然，因此一直以来都是学术界和产业界研究的热点，并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

360代码卫士团队基于自主研发的国内首款源代码安全检测商用工具，以及十余年漏洞技术研究的积累，推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

1、被污染的内存分配

C 语言的内存分配函数包括 malloc()、 kmalloc 、 smalloc()、 xmalloc()、realloc()、 calloc()、 GlobalAlloc()、 HeapAlloc()等等，以 malloc()为例， malloc() 函数的原型为：

extern void*malloc (unsignedintnum_bytes);

malloc() 函数分配了 num_bytes 字节的内存，并返回了指向这块内存的指针。当内存分配长度的整数来自于可能被污染的不可信源时，如果没有对外部输入的数据进行有效判断，会导致超大的内存分配。其中可能被污染的不可信源包括：命令行参数、配置文件、网络通讯、数据库、环境变量、注册表值以及其他来自应用程序以外的输入等。

详见 CWE-789: Uncontrolled Memory Allocation。

2、被污染的内存分配的危害

直接将被污染的数据作为内存分配函数长度参数，如传入了一个极大的整数值，程序就会相应的分配一块极大的内存，从而导致系统极大的内存开销，甚至导致拒绝服务攻击。

CVE中也有一些与之相关的漏洞信息，从2018年1月至2019年3月，CVE中就有4条相关漏洞信息。漏洞信息如下：

CVE	概述
CVE-2018-6869	ZZIPlib 0.13.68 版本中的 zzip/zip.c 文件的‘__zzip_parse_root_directory’函数存在安全漏洞。远程攻击者可借助特制的zip文件利用该漏洞造成拒绝服务（不可控的内存分配和崩溃）。
CVE-2018-5783	PoDoFo 0.9.5 版本中的 base/PdfVecObjects.h文件的‘PoDoFo::PdfVecObjects::Reserve’函数存在安全漏洞。远程攻击者可借助特制的pdf文件利用该漏洞造成拒绝服务（不受控的内存分配）。
CVE-2018-5296	PoDoFo 0.9.5 版本中的 base/PdfParser.cpp 文件的‘PdfParser::ReadXRefSubsection’函数存在安全漏洞，该漏洞源于程序没有控制内存的分配。远程攻击者可借助特制的pdf文件利用该漏洞造成拒绝服务。

3、示例代码

本节所用示例参考CWE-789: Uncontrolled Memory Allocation (http://cwe.mitre.org/data/definitions/789.html) 提供的代码示例，并对示例中的 GetUntrustedInt() 函数进行了定义。

3.1缺陷代码

28-3-1代码.jpg

在上述示例代码中，在第9行使用 malloc() 函数进行长度为 totBytes 字节的内存分配，通过跟踪路径可以看出， totBytes 在第6行通过 size*sizeof(char); 计算结果进行赋值，而 size 的值是第7行使用 scanf() 函数获取的用户键盘输入，为被污染的数据源，从而导致内存分配长度 totBytes 被污染，存在“被污染的内存分配”问题。

使用360代码卫士对上述示例代码进行检测，可以检出“被污染的内存分配”缺陷，显示等级为高。如图1所示：

28-3-1图.jpg

图1：被污染的内存分配的检测示例

3.2 修复代码

28-3-2代码.jpg

在上述修复代码中，虽然 totBytes 的来源为被污染的数据，但在第10行对 totBytes 的长度进行了有效限制，从而避免了被污染的内存分配。

使用360代码卫士对修复后的代码进行检测，可以看到已不存在“被污染的内存分配”缺陷。如图2：

28-3-2图.jpg

图2：修复后检测结果

4、如何避免被污染的内存分配

（1）避免使用被污染的数据直接作为内存分配函数的长度参数，如无法避免，则应对被污染的数据进行有效限制。

（2）使用源代码静态分析工具，可以有效发现这类问题。

关联阅读
【缺陷周话】第 27 期：不安全的随机数
【缺陷周话】第 26期：被污染的格式化字符串
【缺陷周话】第 25期：硬编码密码
【缺陷周话】第 24期：在scanf 函数中没有对 %s 格式符进行宽度限制
【缺陷周话】第 23期：双重检查锁定
【缺陷周话】第 22期：错误的内存释放对象
【缺陷周话】第 21 期：数据库访问控制
【缺陷周话】第 20 期：无符号整数回绕
【缺陷周话】第19期：LDAP 注入
【缺陷周话】第18 期 XPath 注入
【缺陷周话】第17 期：有符号整数溢出
【缺陷周话】第 16 期 — 资源未释放：流
【缺陷周话】第 15 期 — 资源未释放：文件
【缺陷周话】第 14 期：HTTP 响应截断
【缺陷周话】第 13期：二次释放
【缺陷周话】第 12期：存储型 XSS
【缺陷周话】第 11期：释放后使用
【缺陷周话】第 10 期：反射型 XSS
【缺陷周话】第 9 期：缓冲区下溢
【缺陷周话】第 8 期：路径遍历
【缺陷周话】第 7 期：缓冲区上溢
【缺陷周话】第 6 期：命令注入
【缺陷周话】第5期：越界访问
【缺陷周话】第4期：XML 外部实体注入
【缺陷周话】第3期：内存泄漏
【缺陷周话】第 2 期：SQL 注入
【缺陷周话】第1期：空指针解引用