バッファーオーバーフロー

よくバッファーオーバーフローを起こす関数は、以下のとおりである。この他にも、類似の関数はバッファーオーバーフローを起こすと考えて良い。

• gets → fgets、gets_s (C11標準)、getline (GCC、POSIX)
• sprintf → snprintf (C99標準)
• strcpy → strlcpy (BSD)
• strcat → strlcat (BSD)

これら以外にも、Cの標準関数には数多の脆弱性があり、使い方を誤ると問題を生じる関数は枚挙に遑がない。

人間がプログラムを書く以上、これはどうしても避けられない問題でもある。

strcpy、strcat、sprintf、この3関数の使用を禁止するだけでもバッファーオーバーフロー防止に絶大な効果があると期待されるが、それを強く主張すると、なぜかdjb教と呼ばれる。

BSDでは、特にセキュリティ命のOpenBSDから代替としてstrlcpy、strlcat、snprintfという関数が用意された。snprintfはC99から標準規格となったが、それ以外はC標準にもPOSIX標準にもなっていないため、GCC開発側はこれを拒絶している。このためstrlcpy、strlcatはglibcには今もって追加されていない。

djb教の教祖様djbは、このバッファーオーバーフローだけは死んでも発生させないことを旨としており、危険な関数を使っていない。

そうでなくても、何があってもバッファーオーバーフローだけは絶対に阻止するコーディングを心がけるためには、次のような関数を使うことが推奨される。

• strlcpy (strcpyの代替)
• strlcat (strcatの代替)
• snprintf (sprintfの代替)

いずれもBSDで利用可能。セキュリティ重視のBSDである「OpenBSD」などの影響から生まれたものである。同様に宗教であるLinuxでは一般に使えない。

Microsoft Windowsはじめ、オペレーティングシステム(OS)が複雑になるにつれOS自体がバッファーオーバーフローを数多く抱えることになり、ここからバッファーオーバーフローがあることを前提としたセキュリティ議論が本格化することとなった。

このような状況下でどのようにしてセキュリティがらみのバッファーオーバフローを防止するかについて、AMD、次いでIntelは、NXビットというマイクロプロセッサー側からのアプローチによる解決法を提供した。