書式しょしき文字もじ列れつ攻撃こうげき

問題もんだいは、printf() などの書式しょしき指定していのあるC言語げんごの関数かんすうで、ユーザーが入力にゅうりょくした文字もじ列れつをそのまま書式しょしき文字もじ列れつとして利用りようする場合ばあいに発生はっせいする。悪意あくいのあるユーザーが %s や %x といった書式しょしきトークンを使つかい、スタックやその他たのメモリ位置いちの内容ないようをデータとして出力しゅつりょくさせることができる。また、%n トークンを使つかって任意にんいのアドレス位置いちに任意にんいのデータを書かき込こませたりする。

これらのテクニックを組くみ合あわせて、ライブラリ関数かんすうのアドレスを書かき換かえたり、コールスタック上うえのリターンアドレスを書かき換かえて不正ふせいなコードを実行じっこうさせる。書式しょしき文字もじ列れつを工夫くふうすることで書式しょしき文字もじ列れつ自体じたいが変換へんかん対象たいしょうの引数ひきすうとなるようにでき、書式しょしき文字もじ列れつの先頭せんとうに %n で上書うわがきされるアドレスを含ふくめておくと、不正ふせいなコードを指定していしたアドレスに書かき込こめる。

それまで書式しょしきのバグがあっても危険きけんはないと考かんがえられていたため、この種たねの脆弱ぜいじゃく性せいを持もつツールが多数たすう存在そんざいすることがわかった。MITRE's CVE project のリストによれば、約やく 150 もの脆弱ぜいじゃくなプログラムがある。

この種たねのバグは、プログラマがユーザーの入力にゅうりょくした文字もじ列れつを表示ひょうじしようとした場合ばあいに現あらわれやすい。プログラマが printf("%s", buffer) と書かくべきところを printf(buffer) と書かいてしまう場合ばあいである。この場合ばあい、buffer が書式しょしき文字もじ列れつとして解釈かいしゃくされ、変換へんかん文字もじが含ふくまれているとそれを書式しょしきとして翻訳ほんやくしようとする。printf("%s", buffer) であれば、単たんに入力にゅうりょくされた文字もじ列れつを表示ひょうじするだけである。

この問題もんだいは、C言語げんごの引数ひきすうの解釈かいしゃくで型かたを意識いしきしないために発生はっせいする。特とくに printf でも使つかわれている varargs 機構きこうはサブルーチンに任意にんい個この引数ひきすうを渡わたせる。printf では第だい一いち引数ひきすうである書式しょしき文字もじ列れつの内容ないようによって必要ひつような引数ひきすうの個数こすうが決きまり、それによってコールスタックから引数ひきすうを pop して使用しようする。

このバグは1990年ねんにウィスコンシン大学だいがくで行おこなわれた評価ひょうか（各種かくしゅAPIにでたらめな引数ひきすうを与あたえてシステムクラッシュなどの問題もんだいが発生はっせいしないかを調査ちょうさ）で最初さいしょに見みつかった（Miller, Fredriksen, So 1990 参照さんしょう）。彼かれらはこれを "interaction effects" と呼よび、cshの評価ひょうかでそれを見みつけている。このような不具合ふぐあいの評価ひょうか手法しゅほうは後のちに他た者しゃによって体系たいけい化かされ、ファジングと呼よばれることになる。

書式しょしき文字もじ列れつのバグで攻撃こうげきされる可能かのう性せいは Tymm Twillman が ProFTPD デーモンのセキュリティ検査けんさ中ちゅうに発見はっけんした。その検査けんさで、snprintf にユーザーが入力にゅうりょくしたデータがそのまま書式しょしき文字もじ列れつとして使つかわれているのが見みつかった。さらなる評価ひょうかの結果けっか、このバグを利用りようしてセキュリティを破やぶることが可能かのうと判明はんめいした。この結果けっかを 1999年ねん9月がつにBugtraqメーリングリストに新あらたな脆弱ぜいじゃく性せい報告ほうこくとしてポストした^[1]。しかし、これが重大じゅうだいな問題もんだいであると認識にんしきされるまで数ヶ月すうかげつを要ようすることになった。

多おおくのコンパイラは書式しょしき文字もじ列れつを静的せいてきにチェックし、問題もんだいがある場合ばあいには警告けいこくを発はっする。

GNUコンパイラコレクションでは、適当てきとうなコンパイラフラグとして、-Wall,-Wformat, -Wno-format-extra-args, -Wformat-security, -Wformat-nonliteral, -Wformat=2 がある^[2]。

• printf
• scanf
• syslog
• シェルコード

• Robert C. Seacord: Secure Coding in C and C++. Addison Wesley, September, 2005. ISBN 0-321-33572-4
• Tobias Klein: Buffer Overflows und Format-String-Schwachstellen, Dpunkt Verlag, ISBN 3-89864-192-9.
• Crispin Cowan: Software Security for Open-Source Systems, Published by the IEEE Computer Society, IEEE SECURITY & PRIVACY, JANUARY/FEBRUARY 2003, http://computer.org/security
• Barton Miller, Lars Fredriksen, Bryan So: An Empirical Study of the Reliability of UNIX Utilities, Communications of the ACM, vol. 33, no. 12 (December 1990). Also appears (in German translation) as Fatale Fehlerträchtigkeit: Eine empirische Studie zur Zuverlässigkeit von UNIX-Utilities, iX, March 1991. http://www.cs.wisc.edu/~bart/fuzz/
• Crispin Cowan: FormatGuard: Automatic Protection From printf Format String Vulnerabilities, Proceedings of the 10th USENIX Security Symposium, August 2001. http://www.usenix.com/events/sec01/full_papers/cowanbarringer/cowanbarringer.pdf

• scut / team teso Exploiting Format String Vulnerabilities v1.1 2001年ねん3月24日にち
• CERT Secure Coding Standards
• Better Software Through Secure Coding Practices
• CERT Secure Coding Books