Rdesktop un xrdp pārbaude, izmantojot PVS-Studio analizatoru

Šis ir otrais apskats rakstu sērijā par atvērtā pirmkoda programmu testēšanu darbam ar RDP protokolu. Tajā mēs apskatīsim rdesktop klientu un xrdp serveri.

Izmanto kā rīku kļūdu noteikšanai PVS-studija. Tas ir statisks kodu analizators C, C++, C# un Java valodām, kas pieejams Windows, Linux un macOS platformās.

Rakstā ir parādītas tikai tās kļūdas, kuras man šķita interesantas. Tomēr projekti ir mazi, tāpēc kļūdu bija maz :).

Piezīme. Iepriekšējais raksts par FreeRDP projekta verifikāciju ir atrodams šeit.

rdesktop

rdesktop — bezmaksas RDP klienta ieviešana sistēmām, kuru pamatā ir UNIX. To var izmantot arī operētājsistēmā Windows, ja projektu veidojat programmā Cygwin. Licencēts saskaņā ar GPLv3.

Šis klients ir ļoti populārs — tas tiek izmantots pēc noklusējuma ReactOS, un tam var atrast arī trešo pušu grafiskos priekšgalus. Tomēr viņš ir diezgan vecs: viņa pirmā atbrīvošana notika 4. gada 2001. aprīlī - rakstīšanas laikā viņam ir 17 gadi.

Kā jau minēju iepriekš, projekts ir diezgan mazs. Tajā ir aptuveni 30 tūkstoši koda rindiņu, kas, ņemot vērā tā vecumu, ir nedaudz dīvaini. Salīdzinājumam, FreeRDP satur 320 tūkstošus līniju. Šeit ir Cloc programmas izvade:

Nesasniedzams kods

V779 Konstatēts nepieejams kods. Iespējams, ka ir radusies kļūda. rdesktop.c 1502

int
main(int argc, char *argv[])
{
  ....
  return handle_disconnect_reason(deactivated, ext_disc_reason);

  if (g_redirect_username)
    xfree(g_redirect_username);

  xfree(g_username);
}

Kļūda nekavējoties tiek parādīta funkcijā galvenais: mēs redzam, ka kods nāk aiz operatora atgriešanās — šis fragments veic atmiņas tīrīšanu. Tomēr kļūda nerada draudus: visu piešķirto atmiņu operētājsistēma notīrīs pēc programmas iziešanas.

Nav kļūdu apstrādes

V557 Ir iespējama masīva nolaupīšana. Indeksa "n" vērtība varētu sasniegt -1. rdesktop.c 1872. gads

RD_BOOL
subprocess(char *const argv[], str_handle_lines_t linehandler, void *data)
{
  int n = 1;
  char output[256];
  ....
  while (n > 0)
  {
    n = read(fd[0], output, 255);
    output[n] = ' '; // <=
    str_handle_lines(output, &rest, linehandler, data);
  }
  ....
}

Koda fragments šajā gadījumā tiek nolasīts no faila buferī, līdz fails beidzas. Tomēr šeit nav kļūdu apstrādes: ja kaut kas noiet greizi, tad lasīt atgriezīs -1, un tad masīvs tiks pārsniegts produkcija.

EOF izmantošana char veidā

V739 EOF nevajadzētu salīdzināt ar “char” tipa vērtību. “(c = fgetc(fp))” ir jābūt “int” veidam. ctrl.c 500

int
ctrl_send_command(const char *cmd, const char *arg)
{
  char result[CTRL_RESULT_SIZE], c, *escaped;
  ....
  while ((c = fgetc(fp)) != EOF && index < CTRL_RESULT_SIZE && c != 'n')
  {
    result[index] = c;
    index++;
  }
  ....
}

Šeit mēs redzam nepareizu apstrādi, sasniedzot faila beigas: if fgetc atgriež rakstzīmi, kuras kods ir 0xFF, tas tiks interpretēts kā faila beigas (EOF).

EOF tā ir konstante, ko parasti definē kā -1. Piemēram, CP1251 kodējumā krievu alfabēta pēdējam burtam ir kods 0xFF, kas atbilst skaitlim -1, ja mēs runājam par mainīgo, piemēram, tvertne. Izrādās, ka simbols 0xFF, piemēram EOF (-1) tiek interpretēts kā faila beigas. Lai izvairītos no šādām kļūdām, funkcijas rezultāts ir fgetc jāsaglabā tādā mainīgā kā int.

Drukas kļūdas

1. fragments

V547 Izteiksme “write_time” vienmēr ir nepatiesa. disks.c 805

RD_NTSTATUS
disk_set_information(....)
{
  time_t write_time, change_time, access_time, mod_time;
  ....
  if (write_time || change_time)
    mod_time = MIN(write_time, change_time);
  else
    mod_time = write_time ? write_time : change_time; // <=
  ....
}

Iespējams, šī koda autors ir kļūdījies || и && stāvoklī. Apskatīsim iespējamos vērtību variantus rakstīšanas_laiks и maiņas_laiks:

• Abi mainīgie ir vienādi ar 0: šajā gadījumā mēs nonāksim zarā cits: mainīgs mod_time vienmēr būs 0 neatkarīgi no turpmākā nosacījuma.
• Viens no mainīgajiem ir 0: mod_time būs vienāds ar 0 (ar nosacījumu, ka otram mainīgajam ir nenegatīva vērtība), jo MIN izvēlēsies mazāko no divām iespējām.
• Abi mainīgie nav vienādi ar 0: izvēlieties minimālo vērtību.

Nomainot nosacījumu ar rakstīšanas_laiks un maiņas_laiks uzvedība izskatīsies pareizi:

• Viens vai abi mainīgie nav vienādi ar 0: izvēlieties vērtību, kas nav nulle.
• Abi mainīgie nav vienādi ar 0: izvēlieties minimālo vērtību.

2. fragments

V547 Izteiksme vienmēr ir patiesa. Droši vien šeit ir jāizmanto operators '&&'. disks.c 1419

static RD_NTSTATUS
disk_device_control(RD_NTHANDLE handle, uint32 request, STREAM in,
      STREAM out)
{
  ....
  if (((request >> 16) != 20) || ((request >> 16) != 9))
    return RD_STATUS_INVALID_PARAMETER;
  ....
}

Acīmredzot arī šeit ir sajaukti operatori || и &&Vai == и !=: mainīgajam nevar vienlaikus būt vērtība 20 un 9.

Neierobežota rindu kopēšana

V512 Funkcijas "sprintf" izsaukšana novedīs pie bufera "fullpath" pārpildes. disks.c 1257

RD_NTSTATUS
disk_query_directory(....)
{
  ....
  char *dirname, fullpath[PATH_MAX];
  ....
  /* Get information for directory entry */
  sprintf(fullpath, "%s/%s", dirname, pdirent->d_name);
  ....
}

Apskatot funkciju pilnībā, kļūs skaidrs, ka šis kods problēmas nerada. Tomēr tie var rasties nākotnē: viena neuzmanīga maiņa, un mēs iegūsim bufera pārplūdi - sprints nekas neierobežo, tāpēc, savienojot ceļus, mēs varam iziet ārpus masīva robežām. Šo aicinājumu ieteicams pamanīt snprintf(pilns ceļš, PATH_MAX,….).

Lieks stāvoklis

V560 Nosacītā izteiksmes daļa vienmēr ir patiesa: add > 0. scard.c 507

static void
inRepos(STREAM in, unsigned int read)
{
  SERVER_DWORD add = 4 - read % 4;
  if (add < 4 && add > 0)
  {
    ....
  }
}

Проверка pievienot > 0 šeit nav vajadzības: mainīgais vienmēr būs lielāks par nulli, jo lasīt % 4 atgriezīs atlikušo dalījuma daļu, bet tas nekad nebūs vienāds ar 4.

xrdp

xrdp — LAP servera ar atvērtā pirmkoda ieviešana. Projekts ir sadalīts 2 daļās:

• xrdp - protokola ieviešana. Izplatīts saskaņā ar Apache 2.0 licenci.
• xorgxrdp — Xorg draiveru komplekts lietošanai ar xrdp. Licence — X11 (piemēram, MIT, bet aizliedz izmantot reklāmā)

Projekta izstrādes pamatā ir rdesktop un FreeRDP rezultāti. Sākotnēji, lai strādātu ar grafiku, bija jāizmanto atsevišķs VNC serveris vai īpašs X11 serveris ar RDP atbalstu - X11rdp, taču līdz ar xorgxrdp parādīšanos nepieciešamība pēc tiem zuda.

Šajā rakstā mēs neaplūkosim xorgxrdp.

Xrdp projekts, tāpat kā iepriekšējais, ir ļoti mazs un satur aptuveni 80 tūkstošus rindu.

Vairāk drukas kļūdu

V525 Kods satur līdzīgu bloku kolekciju. Atzīmējiet vienumus “r”, “g”, “r” 87., 88., 89. rindā. rfxencode_rgb_to_yuv.c 87

static int
rfx_encode_format_rgb(const char *rgb_data, int width, int height,
                      int stride_bytes, int pixel_format,
                      uint8 *r_buf, uint8 *g_buf, uint8 *b_buf)
{
  ....
  switch (pixel_format)
  {
    case RFX_FORMAT_BGRA:
      ....
      while (x < 64)
      {
          *lr_buf++ = r;
          *lg_buf++ = g;
          *lb_buf++ = r; // <=
          x++;
      }
      ....
  }
  ....
}

Šis kods tika ņemts no librfxcodec bibliotēkas, kas ievieš jpeg2000 kodeku RemoteFX. Šeit acīmredzot ir sajaukti grafiskie datu kanāli - “zilās” krāsas vietā tiek ierakstīts “sarkans”. Šī kļūda, visticamāk, radās kopēšanas un ielīmēšanas rezultātā.

Tāda pati problēma radās līdzīgā funkcijā rfx_encode_format_argb, ko analizators mums arī teica:

V525 Kods satur līdzīgu bloku kolekciju. Atzīmējiet vienumus “a”, “r”, “g”, “r” 260., 261., 262., 263. rindā. rfxencode_rgb_to_yuv.c 260

while (x < 64)
{
    *la_buf++ = a;
    *lr_buf++ = r;
    *lg_buf++ = g;
    *lb_buf++ = r;
    x++;
}

Masīva deklarācija

V557 Ir iespējama masīva pārtēriņa. Indeksa 'i — 8' vērtība varētu sasniegt 129. genkeymap.c 142

// evdev-map.c
int xfree86_to_evdev[137-8+1] = {
  ....
};

// genkeymap.c
extern int xfree86_to_evdev[137-8];

int main(int argc, char **argv)
{
  ....
  for (i = 8; i <= 137; i++) /* Keycodes */
  {
    if (is_evdev)
        e.keycode = xfree86_to_evdev[i-8];
    ....
  }
  ....
}

Masīva deklarācija un definīcija šajos divos failos nav savietojama - izmērs atšķiras par 1. Tomēr kļūdas nenotiek - pareizais izmērs ir norādīts failā evdev-map.c, tāpēc nav robežu. Tātad šī ir tikai kļūda, kuru var viegli novērst.

Nepareizs salīdzinājums

V560 Nosacītā izteiksmes daļa vienmēr ir nepatiesa: (cap_len < 0). xrdp_caps.c 616

// common/parse.h
#if defined(B_ENDIAN) || defined(NEED_ALIGN)
#define in_uint16_le(s, v) do 
....
#else
#define in_uint16_le(s, v) do 
{ 
    (v) = *((unsigned short*)((s)->p)); 
    (s)->p += 2; 
} while (0)
#endif

int
xrdp_caps_process_confirm_active(struct xrdp_rdp *self, struct stream *s)
{
  int cap_len;
  ....
  in_uint16_le(s, cap_len);
  ....
  if ((cap_len < 0) || (cap_len > 1024 * 1024))
  {
    ....
  }
  ....
}

Funkcija nolasa tipa mainīgo neparakstīts īss mainīgajā kā int. Pārbaude šeit nav nepieciešama, jo mēs lasām neparakstītu mainīgo un piešķiram rezultātu lielākam mainīgajam, tāpēc mainīgais nevar iegūt negatīvu vērtību.

Nevajadzīgas pārbaudes

V560 Nosacītā izteiksmes daļa vienmēr ir patiesa: (bpp != 16). libxrdp.c 704

int EXPORT_CC
libxrdp_send_pointer(struct xrdp_session *session, int cache_idx,
                     char *data, char *mask, int x, int y, int bpp)
{
  ....
  if ((bpp == 15) && (bpp != 16) && (bpp != 24) && (bpp != 32))
  {
      g_writeln("libxrdp_send_pointer: error");
      return 1;
  }
  ....
}

Nevienlīdzības pārbaudēm šeit nav jēgas, jo mums jau ir salīdzinājums sākumā. Iespējams, ka tā ir drukas kļūda, un izstrādātājs vēlējās izmantot operatoru || lai filtrētu nederīgos argumentus.

Secinājums

Revīzijas laikā nopietnas kļūdas netika konstatētas, taču tika konstatētas daudzas nepilnības. Tomēr šīs konstrukcijas tiek izmantotas daudzās sistēmās, lai gan tās ir nelielas. Nelielam projektam ne vienmēr ir daudz kļūdu, tāpēc nevajadzētu spriest par analizatora veiktspēju tikai mazos projektos. Vairāk par to varat lasīt rakstā "Sajūtas, kuras apstiprināja cipari".

No mums varat lejupielādēt PVS-Studio izmēģinājuma versiju Tiešsaistē.

Ja vēlaties dalīties ar šo rakstu ar angliski runājošu auditoriju, lūdzu, izmantojiet tulkošanas saiti: Sergejs Larins. Rdesktop un xrdp pārbaude, izmantojot PVS-Studio

Avots: www.habr.com