cwe - 362:并发执行和不当使用共享资源同步(“竞争条件”)
描述
产品包含一个代码序列,可以同时运行其他代码,和代码序列需要临时,独家访问共享资源,但存在一个时间窗口的共享资源可以被另一个代码序列是修改并发操作。
扩展描述
预计这可能有安全隐患时,同步是重要的安全代码,记录用户是否进行验证或修改等重要状态信息,不应该受到一个局外人。
竞态条件发生在并发环境中,有效的代码序列的属性。根据上下文,一个代码序列可能形式的函数调用,少量的指令,一系列的程序调用,等等。
竞态条件违反了这些属性,这是密切相关的:
排他性的代码序列给出独家访问共享资源,即。,没有其他代码序列可以修改共享资源的属性之前,原始序列完成执行。
原子性的代码序列行为的原子,即。,没有其他线程或进程可以同时执行相同序列的指令对相同的资源(或一个子集)。
竞态条件存在时,一个“干扰代码序列”仍然可以访问共享资源,违反排他性。程序员可能认为某些代码序列执行太快干扰影响的代码序列;当他们不是,这违反了原子性。例如,单一的“x + +”声明可能出现原子在代码层,但实际上它是非原子在指令层,因为它涉及到阅读(x)的原始值,其次是计算(x + 1),紧随其后的是一个写(将结果保存到x)。
干扰代码序列可能是“可信的”或“不可信”。A trusted interfering code sequence occurs within the product; it cannot be modified by the attacker, and it can only be invoked indirectly. An untrusted interfering code sequence can be authored directly by the attacker, and typically it is external to the vulnerable product.
的关系
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
自然
类型
ID
的名字
ChildOf
支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。 691年
控制流管理不足
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 364年
信号处理器竞态条件
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 366年
在一个线程竞争条件
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 367年
Time-of-check分时(TOCTOU)竞态条件
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 368年
上下文切换竞态条件
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 421年
在访问备用通道竞态条件
ParentOf
组合——一个复合元素包含两个或两个以上不同的弱点,所有弱点必须出现在同一时间为了一个潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z可以有弱点在哪些情况下可能不是必要的复合,但复合的性质变化时变成了弱点。 689年
在资源复制许可竞态条件
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 1223年
写一次比赛条件属性
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 1298年
硬件逻辑包含竞态条件
光束
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 662年
不同步
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
自然
类型
ID
的名字
ParentOf
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 367年
Time-of-check分时(TOCTOU)竞态条件
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围
影响
可能性
可用性
技术的影响: DoS:资源消耗(CPU);DoS:资源消耗(内存);DoS:资源消耗(其他)
当一个竞态条件可以绕过一个资源清理例程或触发多个初始化例程,它可能导致资源枯竭
cwe - 400 )。
可用性
技术的影响: DoS:崩溃,退出或重新启动;DoS:不稳定
当一个竞态条件允许多个控制流同时访问一个资源,它可能导致产品(s)到意想不到的状态,可能导致崩溃。
保密
结合竞争条件时可预测的资源名和宽松的权限,可以对攻击者覆盖或访问机密数据(
CWE-59 )。
利用的可能性
示范例子
示例1
这段代码可以用在电子商务应用程序支持账户之间的转账。需要转移的总量,将它发送到新的账户,从原来的账户扣除的金额。
$ transfer_amount = GetTransferAmount ();
美元资产= GetBalanceFromDatabase ();
如果(transfer_amount < 0美元){
FatalError(“坏转移金额”);
}
美元newbalance =资产- transfer_amount美元;
如果((平衡- transfer_amount美元)< 0){
FatalError(“资金不足”);
}
SendNewBalanceToDatabase ($ newbalance);
NotifyUser(“转移transfer_amount美元成功。”);
NotifyUser(“新的平衡:$ newbalance”);
之间的竞争条件可能发生调用GetBalanceFromDatabase()和SendNewBalanceToDatabase ()。
100.00假设最初的平衡。攻击可以构造如下:
下面的伪代码,攻击者使两个同步调用的程序,CALLER-1 caller 2。调用者都是同样的用户帐户。
在这个阶段,攻击者应该有一个平衡的19.00(由于价值81.00的转移),但平衡是99.00,记录在数据库中。
防止这一弱点,程序员有几个选项,包括使用一个锁来防止多个并发请求到web应用程序,或使用同步机制,包括所有的代码之间GetBalanceFromDatabase()和SendNewBalanceToDatabase ()。
示例2
以下函数试图获得一个锁,以执行操作在一个共享资源。
空白f (pthread_mutex_t *互斥){
pthread_mutex_lock(互斥);/ * * /访问共享资源
}
然而,代码不检查pthread_mutex_lock()返回的值的错误。如果pthread_mutex_lock()由于任何原因无法获得互斥锁,功能可能引入竞争条件和导致未定义行为的程序。
为了避免数据竞争,正确的写程序必须检查的结果线程同步功能和妥善处理所有错误,通过试图恢复他们或报告他们更高的水平。
int f (pthread_mutex_t *互斥){
int结果;
结果= pthread_mutex_lock(互斥);
如果(0 ! =结果)
返回结果;
/ * * /访问共享资源
返回pthread_mutex_unlock(互斥);
}
示例3
假设一个处理器的内存管理单元(MMU)有5个其他影子MMU分配它的各种核心的工作负载。每个MMU的起始地址和结束地址访问内存。任何时候这个访问范围内变化(根据处理器的引导地位),主要的MMU的影子MMU发送更新消息。
假设互连结构不优先考虑这样的“更新”包比其他一般的流量包。这引入了竞争条件。如果攻击者可以用足够的信息,以便洪水目标的攻击数据包达到目标之前,新的访问范围更新,那么攻击者可以利用这个场景。
观察到的例子
参考
描述
去申请云管理创建一个人人可写的sudoers文件,允许本地攻击者注入sudo规则和升级特权根夺冠的条件。
TOCTOU沙箱过程中允许安装不可信的浏览器附加组件的替换一个文件后验证,但之前执行
链:芯片组竞态条件(
cwe - 362 ),当一个中断处理程序检测到一个试图允许写入BIOS(违反锁位),当处理程序重置允许写入位回0,允许攻击者问题BIOS写在时间窗口(
ref - 1237 ]。
竞态条件导致崩溃通过调用钩子清除过程而其他活动都发生在同一时间。
链:time-of-check时段(TOCTOU)竞态条件程序允许旁路保护机制,旨在防止符号链接攻击。
链:time-of-check时段(TOCTOU)竞态条件程序允许旁路保护机制,旨在防止符号链接攻击。
同步缓存操作使竞争条件,导致消息被发送到一个分配对象。
在初始化期间竞态条件引发缓冲区溢出。
守护进程崩溃迅速执行操作和毁灭他们,最终导致手术不获得锁。
链:竞争条件触发NULL指针
竞争条件在库函数可能会导致数据被发送到错误的过程。
竞争条件在堆文件解析器会导致腐败。
链:竞争条件允许攻击者访问对象虽然仍被初始化,导致软件访问未初始化的内存。
链:竞争条件的参数值,可能导致零废弃
链:竞争条件可能允许发布资源前操作,导致零废弃
潜在的缓解措施
阶段:体系结构和设计
在支持它的语言,使用同步原语。只有将这些在关键代码尽量减少对性能的影响。
阶段:体系结构和设计
使用线程安全的功能,比如数据访问抽象在春天。
阶段:体系结构和设计
减少使用共享资源,从而消除尽可能多的复杂控制流和减少意外情况的发生的可能性。
此外,这将减少同步的必要,甚至可能有助于减少的可能性的拒绝服务攻击者可能会多次触发一个临界段(
cwe - 400 )。
实施阶段:
使用多线程和操作共享变量时,只使用线程安全的功能。
实施阶段:
使用共享变量的原子操作。警惕看上去无害的结构如“x + +”。这可能出现在代码层原子,但它实际上是非原子在指令层,因为它涉及到阅读,后跟一个计算,然后再写。
实施阶段:
实施阶段:
实施阶段:
禁用中断或信号在代码的关键部分,也是确保代码没有进入一个大型或无限循环。
实施阶段:
使用volatile类型修饰符为关键变量来避免意外的编译器优化或重新排序。这并不一定解决同步问题,但它可以帮助。
阶段:体系结构和设计;操作
使用所需的最低特权运行您的代码来完成必要的任务(
ref - 76 ]。如果可能的话,创建独立帐户权限有限,只用于一个任务。这样,一个成功的攻击不会立即给攻击者访问其他软件或其环境。例如,数据库应用程序很少需要作为数据库管理员运行,特别是在日常操作。
检测方法
黑盒
黑盒方法可以确定竞态条件的证据,通过多个并发连接等方法,这可能会导致软件不稳定或崩溃。然而,竞争条件非常狭窄的时间窗口不会被检测到。
白盒子
自动动态分析
这个弱点能被探测到的使用动态交互的工具和技术的软件使用大型测试套件和许多不同的输入,如模糊测试(起毛)健壮性测试和故障注入。软件的操作可能慢下来,但它不应该成为不稳定,崩溃,或者产生不正确的结果。
竞态条件可以检测到压力测试通过调用软件同时从大量的线程或进程,并寻找任何意想不到的行为的证据。
插入断点或延迟相关代码语句之间人为地扩大竞争窗口,这样会更容易被发现。
自动静态分析——二进制或字节码
根据飙升,以下检测技术可能是有用的:
动态分析与自动化的结果解释
根据飙升,以下检测技术可能是有用的:
Web应用程序扫描
Web服务的扫描仪
数据库扫描仪
动态分析与人工解释结果
根据飙升,以下检测技术可能是有用的:
人工静态分析源代码
根据飙升,以下检测技术可能是有用的:
自动静态分析源代码
根据飙升,以下检测技术可能是有用的:
源代码缺陷分析仪
Context-configured源代码分析器
体系结构或设计审查
根据飙升,以下检测技术可能是有用的:
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
自然
类型
ID
的名字
MemberOf
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 635年
最初使用的弱点NVD从2008年到2016年
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 743年
CERT C安全编码标准(2008)第十章-输入输出(FIO)
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 751年
2009年前25 -安全组件之间的交互
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 801年
2010年前25 -安全组件之间的交互
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 852年
CERT甲骨文安全Java编码标准(2011)第9章-可见性和原子性(VNA)
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 867年
2011年处于25 -弱点
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 877年
CERT c++安全编码部分09 -输入输出(FIO)
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 882年
CERT c++安全编码部分14 -并发(CON)
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 988年
SFP二级集群:竞争条件窗口
MemberOf
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 1003年
弱点简化映射的漏洞发布
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 1142年
SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA)
MemberOf
类别——CWE条目包含一组其他条目,共享一个共同的特点。 1376年
集成电路工程(建筑/部署):在调试安全缺口
MemberOf
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 1387年
2022 CWE最危险软件的弱点的弱点
笔记
研究的差距
超和竞争条件在web应用程序可能低报。然而,在2008年在这一领域有越来越感兴趣。
研究的差距
的竞态条件研究的重点一直在Time-of-check时段(TOCTOU)变体(
cwe - 367 ),但许多相关竞态条件不一定需要time-of-check同步问题。
研究的差距
从分类/分类的角度来看,并发性和程序状态之间的关系需要进一步调查,并组织相关问题可能是有用的。
维护
竞态条件之间的关系和同步问题(
cwe - 662 )需要进一步发展。他们不一定是两个观点相同的核心概念,自同步是避免竞态条件,只有一个技术和同步可以用于其他目的除了预防竞态条件。
分类法映射
映射分类名称
节点ID
适合
映射节点名
千鸟
竞态条件
CERT甲骨文安全Java编码标准(2011)
VNA03-J
不要认为一群原子是调用独立原子方法
引用
迈克尔•霍华德(REF-44)大卫·勒布朗和Viega约翰。软件安全的“24宗罪”。“罪13:竞争条件”。Page 205. McGraw-Hill. 2010.
内容的历史
提交日期
提交者
组织
2006-07-19
千鸟
贡献的日期
贡献者
组织
2010-04-30
马丁Sebor
思科系统公司
提供示范例子
修改日期
修饰符
组织
2008-07-01
Eric Dalci
Cigital
更新Time_of_Introduction
2008-09-08
CWE内容团队
主教法冠
更新的关系,Taxonomy_Mappings
2008-10-14
CWE内容团队
主教法冠
更新的关系
2008-11-24
CWE内容团队
主教法冠
更新的关系,Taxonomy_Mappings
2009-01-12
CWE内容团队
主教法冠
更新Applicable_Platforms、Common_Consequences Demonstrative_Examples、描述Likelihood_of_Exploit, Maintenance_Notes, Observed_Examples, Potential_Mitigations,引用关系,Research_Gaps
2009-03-10
CWE内容团队
主教法冠
更新Demonstrative_Examples Potential_Mitigations
2009-05-27
CWE内容团队
主教法冠
更新的关系
2010-02-16
CWE内容团队
主教法冠
更新Detection_Factors、引用关系
2010-06-21
CWE内容团队
主教法冠
更新Common_Consequences、Demonstrative_Examples Detection_Factors Potential_Mitigations,引用
2010-09-27
CWE内容团队
主教法冠
更新Observed_Examples Potential_Mitigations,关系
2010-12-13
CWE内容团队
主教法冠
Applicable_Platforms更新,Demonstrative_Examples、描述、名称、Potential_Mitigations、人际关系
2011-06-01
CWE内容团队
主教法冠
更新Common_Consequences、关系、Taxonomy_Mappings
2011-06-27
CWE内容团队
主教法冠
更新的关系
2011-09-13
CWE内容团队
主教法冠
更新的关系,Taxonomy_Mappings
2012-05-11
CWE内容团队
主教法冠
更新Potential_Mitigations、引用关系
2014-07-30
CWE内容团队
主教法冠
更新Detection_Factors、人际关系
2015-12-07
CWE内容团队
主教法冠
更新的关系
2017-11-08
CWE内容团队
主教法冠
更新Demonstrative_Examples、引用Research_Gaps Taxonomy_Mappings
2019-01-03
CWE内容团队
主教法冠
更新的关系,Taxonomy_Mappings
2019-06-20
CWE内容团队
主教法冠
更新的关系
2020-02-24
CWE内容团队
主教法冠
更新Applicable_Platforms Demonstrative_Examples Observed_Examples,关系
2020-08-20
CWE内容团队
主教法冠
更新的关系
2021-03-15
CWE内容团队
主教法冠
更新Demonstrative_Examples
2021-10-28
CWE内容团队
主教法冠
更新Observed_Examples,引用
2022-04-28
CWE内容团队
主教法冠
更新Observed_Examples、人际关系
2022-06-28
CWE内容团队
主教法冠
更新Observed_Examples、人际关系
2022-10-13
CWE内容团队
主教法冠
更新Observed_Examples,引用
2023-01-31
CWE内容团队
主教法冠
更新Applicable_Platforms Common_Consequences,描述
改变日期
以前的条目名称
2008-04-11
竞态条件
2010-12-13
竞态条件
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
