Чи використовує застарілий компілятор C ризик безпеки?

У виробництві є декілька систем побудови, про які ніхто не піклується, і ці машини працюють за давніми версіями GCC, як GCC 3 або GCC 2.

І я не можу переконати керівництво оновити його до більш недавнього: вони кажуть, "якщо не зламаються, не виправляйте".

Оскільки ми підтримуємо дуже стару базу коду (написану в 80-х роках), цей код C89 добре компілюється на цих компіляторах.

Але я не впевнений, що добре використовувати ці старі речі.

Моє запитання:

Чи може використання старого компілятора C погіршити безпеку компільованої програми?

ОНОВЛЕННЯ:

Цей же код створений Visual Studio 2008 для цілей Windows, і MSVC ще не підтримує C99 або C11 (я не знаю, чи є новіший MSVC), і я можу створити його на моєму скриньці Linux, використовуючи останню GCC. Тож якби ми просто впустили новіший GCC, він, ймовірно, створив би так само добре, як і раніше.

Насправді я б стверджував протилежне.

Є ряд випадків, коли поведінка не визначено стандартом C, але де очевидно, що буде з "тупим компілятором" на даній платформі. Такі випадки, як дозволяти підписаному цілому числу переповнювати або отримувати доступ до тієї самої пам'яті, хоч змінні двох різних типів.

Останні версії gcc (і clang) почали трактувати ці випадки як можливості оптимізації, не викликаючи бажання, якщо вони змінюють, як бінарний поводиться в умовах "невизначеної поведінки". Це дуже погано, якщо вашу кодову базу написали люди, які ставились до С як до "портативного асемблера". З часом оптимізатори почали дивитися на все більші та більші шматки коду, коли ці оптимізації збільшують шанс, що двійковий файл в кінцевому підсумку зробить щось інше, ніж "те, що зробить бінарний, побудований тупим компілятором".

Існують перемикачі компілятора, щоб відновити "традиційну" поведінку (-fwrapv і -fno-строгий-псевдонім для двох, про яких я згадував вище), але спочатку ви повинні знати про них.

Хоча в принципі помилка компілятора може перетворити сумісний код у дірку безпеки, я вважав би ризик цього незначним у великій схемі речей.

В обох напрямках існують ризики.

Старіші компілятори мають перевагу зрілості, і все, що було порушено в них, можливо, (але гарантії немає) було оброблено успішно.

У цьому випадку новий компілятор є потенційним джерелом нових помилок.

З іншого боку, нові компілятори поставляються з додатковими інструментами :

• Зараз GCC і Clang оснащені дезінфікуючими засобами, які можуть призначати час виконання для виявлення різного роду невизначених типів поведінки (Чандлер Каррут, команда Google Compiler, в минулому році стверджував, що він очікує, що вони досягнуть повного покриття)
• Принаймні, у Clang є особливості загартовування , наприклад, Control Flow Integrity - це виявлення високих роз'ємів контрольного потоку, також є пристрої для зміцнення для захисту від атак розбиття стека (шляхом відокремлення частини контрольної потоку стека від частини даних) ; характеристики загартовування, як правило, низькі накладні (<1% накладних процесорів)
• Clang / LLVM також працює над libFuzzer , інструментом для створення інструментальних тестових блоків-тестів, які розумно досліджують вхідний простір функції тестуваної функції (налаштовуючи вхід для прийняття ще не досліджених шляхів виконання)

Інструментація вашого двійкового файлу із засобами дезінфекції (Address Sanitizer, Sanitizer Memory або Undefined Behavior Sanitizer), а потім його розмивання (використовуючи, наприклад, American Fuzzy Lop ) виявила вразливості у ряді гучних програм, див., Наприклад, цю статтю LWN.net .

Ці нові інструменти та всі майбутні інструменти для вас недоступні, якщо ви не оновите компілятор.

Залишаючись на недостатньому компіляторі, ви кладете голову в пісок і схрещуєте пальці, щоб не було виявлено вразливості. Якщо ваш товар є цільовою ціною, я закликаю вас переглянути.

Примітка: навіть якщо ви НЕ обновляєте виробничий компілятор, ви можете скористатися новим компілятором, щоб перевірити наявність вразливості; майте на увазі, що оскільки це різні компілятори, то гарантії зменшуються.

Ваш компільований код містить помилки, які можна було б використати. Помилки надходять із трьох джерел: Помилки у вихідному коді, помилки у компіляторі та бібліотеках та невизначена поведінка у вихідному коді, що компілятор перетворюється на помилку. (Невизначена поведінка - це помилка, але ще не помилка у скомпільованому коді. Наприклад, i = i ++; у C або C ++ - помилка, але у вашому скомпільованому коді вона може збільшитися i на 1 і бути Ок, або встановити я на якийсь мотлох і бути помилкою).

Імовірно, кількість помилок у вашому складеному коді низька через тестування та виправлення помилок через звіти про помилки клієнтів. Тож, можливо, спочатку було велику кількість помилок, але це знизилось.

Якщо ви оновите до більш нового компілятора, ви можете втратити помилки, які були введені помилками компілятора. Але всі ці помилки були б помилками, які, на вашу думку, ніхто не знайшов і ніхто не експлуатував. Але новий компілятор може мати помилки самостійно, і, що важливо, новіші компілятори мають сильнішу тенденцію перетворювати невизначене поведінку в помилки у складеному коді.

Таким чином, у вашому складеному коді з’явиться маса нових помилок; всі помилки, які хакери могли знайти та використати. І якщо ви не зробите багато тестування і не залишите свій код разом із клієнтами, щоб знайти помилки на тривалий час, це буде менш безпечно.

Якщо це не зламалося, не виправляйте

Ваш начальник звучить правильно, кажучи це, однак, більш важливим фактором є захист входів, виходів, переповнення буфера. Недолік цих незмінно є найслабшим ланкою ланцюга з цієї точки зору, незалежно від використовуваного компілятора.

Однак якщо база коду є давньою, і було розпочато роботу з усунення слабких місць використовуваних K&R C, таких як відсутність безпеки типу, незахищені фетти тощо, зважити на питання " Чи можна модернізувати компілятор до сучасного C99 / C11 стандарти все порушують? "

За умови, що існує чіткий шлях до переходу на новіші стандарти С, які можуть викликати побічні ефекти, може бути найкращим чином спробувати вилку старої бази коду, оцінити її та встановити додаткові перевірки типу, перевірки правильності та визначити, чи буде оновлено до новіший компілятор має будь-який вплив на набори вводу / виводу даних.

Тоді ви можете показати це своєму начальнику: " Ось оновлена ​​база коду, що переробляється, більше відповідає стандартам C99 / C11, прийнятим у галузі ... ".

Це гра, яку потрібно було б зважити, дуже обережно , стійкість до змін може проявитись у цьому середовищі і може відмовитися торкатися новіших речей.

EDIT

Просто просидів кілька хвилин, зрозумів це багато, код, сформований K&R, може працювати на 16-бітній платформі, швидше за все, перехід на більш сучасний компілятор може насправді зламати базу коду, я думаю, що з точки зору архітектури, буде створено 32-бітовий код , це може мати смішні побічні ефекти на структури, що використовуються для набору даних введення / виводу, що є ще одним величезним фактором для ретельного зважування.

Крім того, оскільки ОП згадувало використання Visual Studio 2008 для побудови бази даних, використання gcc могло викликати введення в середовище або MinGW, або Cygwin, що може вплинути на навколишнє середовище, якщо, якщо ціль не для Linux, то це було б Варто зняти, можливо, доведеться включити додаткові перемикачі до компілятора, щоб мінімізувати шум на старій базі коду K&R, інша важлива річ - провести багато тестування, щоб гарантувати, що функціональність не порушена, може виявитися болючою вправою.

Чи може використання старого компілятора C погіршити безпеку компільованої програми?

Звичайно, це може, якщо старий компілятор містить відомі помилки, які, як ви знаєте, впливали б на вашу програму.

Питання в тому, чи не так? Щоб точно знати, вам доведеться прочитати весь журнал змін від вашої версії до теперішньої дати та перевірити кожну помилку, виправлену за ці роки.

Якщо ви не знайдете жодних доказів помилок компілятора, які впливали б на вашу програму, оновлення GCC тільки заради цього здається трохи параноїчним. Вам слід пам’ятати, що новіші версії можуть містити нові помилки, які ще не виявлені. Нещодавно було внесено багато змін із підтримкою GCC 5 та C11.

Незважаючи на це, код, написаний у 80-ті роки, швидше за все, вже заповнений до кінців безпечними отворами та опорою на погано визначену поведінку, незалежно від компілятора. Тут ми говоримо про стандартний C.

Існує ризик безпеки, коли зловмисний розробник може прокрастися задніми дверима через помилку компілятора. Залежно від кількості відомих помилок у компіляторі, який використовується, задній простір може виглядати більш-менш непомітним (у будь-якому випадку, справа в тому, що код є правильним, навіть якщо він заплутаний, на рівні джерела. Огляд джерел та тести з використанням компілятор, що не баггі, не знайде backdoor, тому що backdoor не існує в цих умовах). Для отримання додаткових балів заперечення зловмисний розробник також може самостійно шукати невідомі помилки компілятора. Знову якість якості камуфляжу буде залежати від вибору знайдених помилок компілятора.

Ця атака проілюстрована на програмному судо в цій статті . bcrypt написав чудове спостереження за міні-версіями Javascript .

Крім цього занепокоєння, еволюція компіляторів була використовувати невизначений поведінка більш і більш і більш агресивно, так що старий C код , який був написаний в дусі доброї волі буде на самому ділі більш безпечним скомпільовано з компілятором від часу, або складеного на -O0 (але деякі нові програмні оптимізації, що експлуатують UB , вводяться в нових версіях компіляторів навіть при -O0 ).

Старі компілятори можуть не мати захисту від відомих хакерських атак. Наприклад, захист від руйнування стека не був введений до GCC 4.1 . Так, так, код, зібраний зі старими компіляторами, може бути вразливим способами, від яких нові компілятори захищають.

Ще один аспект, який слід турбувати - це розробка нового коду .

Старі компілятори можуть мати різні поведінки для деяких мовних особливостей, ніж те, що стандартизується та очікується програмістом. Ця невідповідність може уповільнити розвиток і ввести непомітні помилки, які можна експлуатувати.

Старі компілятори пропонують менше функцій (включаючи мовні функції!), А також не оптимізують їх. Програмісти зламують ці недоліки - наприклад, повторним доповненням відсутніх функцій або написанням розумного коду, який є неясним, але працює швидше - створюючи нові можливості для створення тонких помилок.

Ні

Причина проста: старий компілятор може мати старі помилки та подробиці, але новий компілятор матиме нові помилки та подвиги.

Ви не "виправляєте" жодних помилок, перейшовши на новий компілятор. Ваша комутація старих помилок і подвигів для нових помилок і подвигів.

Ну є більша ймовірність того, що будь-які помилки у старому компіляторі добре відомі та задокументовані, на відміну від використання нового компілятора, тому можна вжити заходів для уникнення цих помилок шляхом кодування навколо них. Таким чином, недостатньо як аргумент для оновлення. У нас ті ж самі дискусії, де я працюю, ми використовуємо GCC 4.6.1 на основі коду для вбудованого програмного забезпечення, і є велике небажання (серед керівництва) оновити до останнього компілятора через страх перед новими недокументованими помилками.

Ваше питання складається з двох частин:

• Явне: "Чи більший ризик використання старого компілятора" (більш-менш, як у вашому заголовку)
• Послідовність: "Як я можу переконати управління оновити"

Можливо, ви можете відповісти на обидва, знайшовши експлуатований недолік у вашій існуючій кодовій базі та показавши, що новіший компілятор виявив би це. Звичайно, ваше керівництво може сказати, "ви виявили це зі старим компілятором", але ви можете зазначити, що це коштувало значних зусиль. Або ви запускаєте його через новий компілятор, щоб знайти вразливість, а потім експлуатуйте його, якщо вам вдається / дозволяється компілювати код з новим компілятором. Ви можете отримати допомогу від доброзичливого хакера, але це залежить від довіри до них та можливості / дозволу показати їм код (та використовувати новий компілятор).

Але якщо ваша система не піддається впливу хакерів, можливо, вас більше зацікавить, чи покращить ефективність оновлення компілятора: Аналіз коду MSVS 2013 досить часто виявляє потенційні помилки набагато швидше, ніж MSVS 2010, і він більш-менш підтримує C99 / C11 - не впевнений, чи це офіційно, але декларації можуть слідувати твердженням, а ви можете оголошувати змінні в for-loops.