[devel] PyGTK
Sergey Vlasov
vsu at altlinux.ru
Fri Jul 24 14:34:47 MSD 2009
On Fri, Jul 24, 2009 at 11:51:32AM +0800, REAL wrote:
> >https://bugzilla.altlinux.org/show_bug.cgi?id=20842
> 1021 In file included from /usr/include/string.h:658,
> 1022 from /usr/include/python2.6/Python.h:38,
> 1023 from gdk.c:4:
> 1024 In function 'strncpy',
> 1025 inlined from '_wrap_gdk_event_tp_setattr' at
> gdkevent.override:357:
> 1026 /usr/include/bits/string3.h:122: error: call to
> __builtin___strncpy_chk will always overflow destination buffer
Часть структуры, с которой производятся операции, выглядит так:
struct _GdkEventClient
{
GdkEventType type;
GdkWindow *window;
gint8 send_event;
GdkAtom message_type;
gushort data_format;
union {
char b[20];
short s[10];
long l[5];
} data;
};
Можно сократить testcase до:
#include <string.h>
struct Event
{
union {
char b[4];
long l[1];
} data;
};
void test_fn(struct Event *event, const char *tmp)
{
strncpy((char *) &event->data, tmp, sizeof(event->data));
}
Т.е., копирование производится в поле, являющееся union, один из
компонентов которого - массив char. В этом случае, похоже, в качестве
размера массива для проверки на переполнение буфера всегда берётся
размер массива char, однако sizeof возвращает полный размер всего
union (соответствующий максимальному компоненту с учётом
выравнивания). В результате код нормально компилируется, пока другие
компоненты union не превосходят массив char по размеру; однако на
x86_64 long становится 64-битным, в результате размер всего union
становится больше, чем размер массива b, и при попытке копирования в
union фиксируется переполнение буфера (несмотря на то, что
используется адрес поля data, а не data.b).
Можно попробовать исправить код так:
- strncpy((char *) &event->client.data, tmp,
- sizeof(event->client.data));
+ strncpy(event->client.data.b, tmp,
+ sizeof(event->client.data.b));
(данные типа short или long всё равно нельзя будет передать из-за
нулевых байтов; нужен ли там '\0' в конце - зависит от того, для кого
предназначается этот XClientMessageEvent; в общем случае событие без
завершающего '\0' вполне можно передать).
Правда, в другом месте есть ещё обратное преобразование:
if (!strcmp(attr, "data"))
return PyString_FromStringAndSize((char *) &event->client.data,
sizeof(event->client.data));
Для соответствия ему можно сделать совсем правильно:
} else if (!strcmp(attr, "data")) {
char *tmp;
Py_ssize_t len;
STRING_CHECK();
if (PyString_AsStringAndSize(value, &tmp, &len))
return -1;
if (len < 0)
return -1;
if (len > sizeof(event->client.data))
len = sizeof(event->client.data);
memcpy(&event->client.data, tmp, len);
memset((char *)&event->client.data + len, 0,
sizeof(event->client.data) - len);
return 0;
}
(В этом варианте в строке могут быть и нулевые байты, которые попадут
в буфер.)
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20090724/66d8243f/attachment.bin>
More information about the Devel
mailing list