Как решить целочисленное переполнение в отчете об укреплении? (код c)

У меня есть функция о функции изображения, когда я выделяю буфер (размер буфера через заголовок чтения). В отчете по усилению сказано, что здесь "Целочисленное переполнение". Но, исправляю ли я код или проверяю значение цветов, отчет по укреплению все еще говорит мне "Целочисленное переполнение"

У кого-нибудь есть предложения?

код:

int ReadInt()
{
    int rnt=0;
    rnt = getc(xxx);
    rnt +=  (getc(xxx)<<8);
    rnt += (getc(xxx)<<16);
    rnt += (getc(xxx)<<24);
    return rnt;
}

int image()
{
....
        image->header_size=ReadInt();
        image->width=ReadInt();
        image->height=ReadInt();
....    
        image->colors =ReadInt();

        int unit_size = 0;
        unit_size = sizeof(unsigned int);
        unsigned int malloc_size = 0;
        if (image->colors > 0 &&
            image->colors < (1024 * 1024 * 128) &&
            unit_size > 0 &&
            unit_size <= 8)
        {

            malloc_size = (image->colors  * unit_size);
            image->palette = (unsigned int *)malloc( malloc_size );
        }

....
        return 0;
}

отчет fortift:

Abstract: The function image() in xzy.cpp does not account for
integer overflow, which can result in a logic error or a buffer overflow.
Source:  _IO_getc()
59 rnt += (getc(xxx)<<8);
60 rnt += (getc(xxx)<<16);
61 rnt += (getc(xxx)<<24);
62 return rnt;

Sink: malloc()
242 malloc_size = (image->colors * unit_size);
243 image->palette = (unsigned int *)malloc( malloc_size );
244

Использовать unsigned int? Целые числа без знака имеют четко определенную семантику переполнения, тогда как целые числа со знаком - нет.

Cornstalks 26.10.2018 06:01
getc вернет преобразование типа char в int. Однако тип возврата getc - int. Возможно, инструмент неправильно учитывает диапазон getc.
Rishikesh Raje 26.10.2018 06:15

fortify может ошибаться. Вы должны принять во внимание эту возможность. Попробуйте также другие статические анализаторы исходного кода, такие как Фрама-С и Clang-анализатор. Кстати, тип malloc_size должен быть size_t

Basile Starynkevitch 26.10.2018 06:43

@RishikeshRaje: Ну нет; getc() может возвращать char, повышенный до int, но он также может возвращать EOF (это значение, которое гарантированно не является действительным char). Представляете, как компилятору понравится видеть rnt += EOF << 24; ...

Brendan 26.10.2018 07:09

@Brendan Я пытаюсь проверить значение getc (EOF или нет), но это не влияет :(

whatai cheng 26.10.2018 07:37
1
5
640
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Левый сдвиг int имеет потенциал для неопределенное поведение (UB) каждый раз, когда бит «единица» сдвигается в бит знака.

Это может произойти с произвольными значениями int, как в some_int << 8.

getc() возвращает значения в диапазоне unsigned char или отрицательном EOF. Левое переключение EOF - UB. Сдвиг влево значения вроде 128 с 128 << 24 - UB.

Вместо этого накапливайте неотрицательные значения из getc(), используя математику беззнаковый.

Рекомендуется изменить сигнатуру функции, чтобы учесть ошибки конца файла / ввода.

#include <stdbool.h>
#include <limits.h>

// return true on success
bool ReadInt(int *dest) {
  unsigned urnt = 0;
  for (unsigned shift = 0; shift < sizeof urnt * CHAR_BIT; shift += CHAR_BIT) {
    int ch = getc(xxx);
    if (ch == EOF) {
      return false;
    }
    urnt |= ((unsigned) ch) << shift;
  } 
  *dest = (int) urnt;
  return true;
}

Преобразование (int) urnt вызывает "сигнал, определяемый реализацией, или сигнал, определяемый реализацией", и это обычно ожидаемая функциональность: значения в urnt выше INT_MAX "переходят в цикл".

В качестве альтернативы педантичный кодекс может использовать:

  if (urnt > INT_MAX) {
    *dest = (int) urnt;
  } else {
    *dest = ((int) (urnt - INT_MAX - 1)) - INT_MAX - 1;
  }

Улучшения для image->colors * unit_size.

    //int unit_size = 0;
    // unit_size = sizeof(unsigned int);
    size_t unit_size = sizeof(unsigned int);
    // unsigned int malloc_size = 0;
    if (image->colors > 0 &&
        // image->colors < (1024 * 1024 * 128) &&
        image->colors < ((size_t)1024 * 1024 * 128) &&
        unit_size > 0 &&
        unit_size <= 8)
    {
        size_t malloc_size = (size_t) image->colors * unit_size;
        // image->palette = (unsigned int *)malloc( malloc_size );
        image->palette = malloc(malloc_size);

1024 * 1024 * 128 является проблемой, когда INT_MAX < 134217728 (28-битный int) .
См. Есть причины не использовать 1000 * 1000 * 1000

Другие вопросы по теме