 描述
产品使用一个无符号的原始原始签署和执行,从而产生出意想不到的价值的价值符号基本数据不能代表使用原始签名。
扩展描述
虽然不如signed-to-unsigned转换频繁问题,unsigned-to-signed转换可以完美的危险的前兆缓冲承保条件允许攻击者向下移动堆栈,否则可能没有访问在一个正常的缓冲区溢出的情况。缓冲承保时经常发生大的无符号值签名值,然后用作指针索引缓冲区或算术。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 相关的视图”方案及质量的措施(2020)”(CWE-1305)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
681年 |
不正确的数值类型之间的转换 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”方案及数据保护措施”(cwe - 1340)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
681年 |
不正确的数值类型之间的转换 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
可用性
|
不正确的信号转换通常导致未定义行为,因此崩溃。 |
|
完整性
|
如果一个贫穷导致缓冲区溢出或类似的条件,数据的完整性可能会受到影响。 |
|
完整性
保密
可用性
访问控制
|
技术的影响:执行未经授权的代码或命令;旁路保护机制
不当signed-to-unsigned转换没有适当的检查有时会引发缓冲区溢出,可以用来执行任意代码。这通常是在程序的隐式安全政策的范围。 |
|
利用的可能性
潜在的缓解措施
阶段:需求
选择一种语言不受这些铸造缺陷。 |
阶段:体系结构和设计
设计对象访问器函数来隐式检查值有效尺寸。确保所有功能将被用作一个尺寸检查之前使用大小。如果语言允许抛出异常,而不是使用带内的错误。 |
实施阶段:
错误检查所有函数的返回值。的隐式转换,使用无符号变量的大小如果可能的话。 |
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 扣 |
|
|
未签名的签名转换错误 |
| 软件故障模式 |
SFP1只能 |
|
在计算故障 |
引用
|
(ref - 62)马克·多德约翰麦克唐纳和贾斯汀Schuh。“软件安全评估的艺术”。第六章,“类型转换”,223页。1版。艾迪生卫斯理》2006。 |
|
|
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”方案及质量的措施(2020)”(CWE-1305)
