CWE -CWE -775：有效的生命周期后，缺少发布文件描述符或句柄（4.10）

弱点ID：775

抽象：Variant
结构：简单的

查看自定义信息：

Description

该产品在有效的生命周期结束后，即不再需要文件描述符/句柄之后，该产品不会释放文件描述符或句柄。

扩展描述

When a file descriptor or handle is not released after use (typically by explicitly closing it), attackers can cause a denial of service by consuming all available file descriptors/handles, or otherwise preventing other system processes from obtaining their own file descriptors/handles.

关系

该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof，parentof，ementof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似弱点。

Relevant to the view "Research Concepts" (CWE-1000)

自然	Type	ID	姓名
Childof	根据- a weakness that is still mostly independent of a resource or technology, but with sufficient details to provide specific methods for detection and prevention. Base level weaknesses typically describe issues in terms of 2 or 3 of the following dimensions: behavior, property, technology, language, and resource.	772	Missing Release of Resource after Effective Lifetime

与“ CISQ质量措施（2020）”相关（CWE-1305）

自然	Type	ID	姓名
Childof	班级- a weakness that is described in a very abstract fashion, typically independent of any specific language or technology. More specific than a Pillar Weakness, but more general than a Base Weakness. Class level weaknesses typically describe issues in terms of 1 or 2 of the following dimensions: behavior, property, and resource.	404	资源关闭或发布不当

与“ CISQ数据保护措施”（CWE-1340）有关

自然	Type	ID	姓名
Childof	班级- a weakness that is described in a very abstract fashion, typically independent of any specific language or technology. More specific than a Pillar Weakness, but more general than a Base Weakness. Class level weaknesses typically describe issues in terms of 1 or 2 of the following dimensions: behavior, property, and resource.	404	资源关闭或发布不当

介绍模式

引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点，而音符提供了与给定阶段中引言有关的典型情况。

Phase	笔记
Implementation

常见后果

该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域，而影响描述了如果对手成功利用这一弱点，就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如，可能会利用弱点来实现一定的影响，但很可能会利用它来实现不同的影响。

范围	Impact	可能性
Availability	技术影响：DOS：资源消耗（其他）可以影响未正确发布的资源分配的攻击者可能会耗尽可用的资源池，并防止所有其他过程访问相同类型的资源。

Observed Examples

Reference	Description
CVE-2007-0897	链：反病毒产品遇到错误的文件，但从函数返回而无需关闭文件描述符（CWE-775）导致文件描述符消耗（CWE-400）和扫描失败。

Potential Mitigations

阶段：操作；建筑和设计

Strategy: Resource Limitation

使用操作系统或环境提供的资源限制设置。例如，当在POSIX中管理系统资源时，SetRlimit（）可用于为某些类型的资源设置限制，而GetRlimit（）可以确定可用的资源。但是，这些功能在所有操作系统上都不可用。

When the current levels get close to the maximum that is defined for the application (seeCWE-770），然后将更多资源的分配限制为特权用户；或者，开始为较弱的用户释放资源。尽管这种缓解措施可以保护系统免受攻击，但它不一定会阻止攻击者对其他用户产生不利影响。

确保应用程序执行适当的错误检查和错误处理，以防资源不可用（CWE-703）。

Memberships

此成员关系表显示了其他CWE类别和视图，将此弱点称为成员。该信息通常可用于理解弱点适合外部信息源的何处。

自然	Type	ID	姓名
成员	Category - a CWE entry that contains a set of other entries that share a common characteristic.	982	SFP辅助集群：未能发布资源
成员	Category - a CWE entry that contains a set of other entries that share a common characteristic.	1163	SEI CERT C Coding Standard - Guidelines 09. Input Output (FIO)

Taxonomy Mappings

映射的分类名称	节点ID	Fit	映射的节点名称
CERT C Secure Coding	FIO42-C	CWE更抽象	不再需要的文件关闭文件
软件故障模式	SFP14		Failure to Release Resource

References

[REF-62] Mark Dowd, John McDonald and Justin Schuh. "The Art of Software Security Assessment". Chapter 10, "File Descriptor Leaks", Page 582. 1st Edition. Addison Wesley. 2006.

内容历史记录

Submissions
Submission Date	提交者	Organization
2009-05-13	CWE内容团队	MITER
2009-05-13
修改
修改日期	Modifier	Organization
2009-12-28	CWE内容团队	MITER
2009-12-28	更新了观察到的examples
2010-04-05	CWE内容团队	MITER
2010-04-05	updated Potential_Mitigations
2011-06-01	CWE内容团队	MITER
2011-06-01	updated Common_Consequences
2012-05-11	CWE内容团队	MITER
2012-05-11	updated References, Relationships
2012-10-30	CWE内容团队	MITER
2012-10-30	updated Potential_Mitigations
2014-07-30	CWE内容团队	MITER
2014-07-30	updated Relationships, Taxonomy_Mappings
2015-12-07	CWE内容团队	MITER
2015-12-07	updated Relationships
2017-11-08	CWE内容团队	MITER
2017-11-08	更新的likelihood_of_exploit，关系，分类_mappings
2019-01-03	CWE内容团队	MITER
2019-01-03	更新的common_cconsquences，关系，theoricenity_notes
2019-06-20	CWE内容团队	MITER
2019-06-20	updated Relationships
2020-02-24	CWE内容团队	MITER
2020-02-24	updated Relationships, Taxonomy_Mappings
2020-08-20	CWE内容团队	MITER
2020-08-20	updated Relationships
2020-12-10	CWE内容团队	MITER
2020-12-10	updated Relationships
2022-10-13	CWE内容团队	MITER
2022-10-13	updated Relationships, Taxonomy_Mappings
2023-01-31	CWE内容团队	MITER
2023-01-31	更新的描述

普遍的弱点

CWE-775：有效终生后缺少释放文件描述符或处理


	站点地图\|使用条款\|Privacy Policy\|Contact Us\| Use of the Common Weakness Enumeration (CWE) and the associated references from this website are subject to the使用条款。CWE由U.S. Department of Homeland Security(DHS)网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所(HSSEDI) which is operated bymanbetx客户端首页(MITRE). Copyright © 2006–2023, The MITRE Corporation. CWE, CWSS, CWRAF, and the CWE logo are trademarks of The MITRE Corporation.