קאָנטראָלירונג rdesktop און xrdp מיט די PVS-Studio אַנאַליזער

דאָס איז די רגע רעצענזיע אין אַ סעריע פון ​​​​אַרטיקלען וועגן טעסטינג עפֿענען מקור מגילה פֿאַר ארבעטן מיט די RDP פּראָטאָקאָל. אין עס מיר וועלן קוקן אין די rdesktop קליענט און די xrdp סערווער.

געוויינט ווי אַ געצייַג צו ידענטיפיצירן ערראָרס פּווס-סטודיאָ. עס איז אַ סטאַטיק קאָד אַנאַליזער פֿאַר C, C ++, C # און Java שפּראַכן, בנימצא אויף Windows, Linux און macOS פּלאַטפאָרמס.

דער אַרטיקל גיט בלויז די ערראָרס וואָס געווען טשיקאַווע צו מיר. אָבער, די פּראַדזשעקס זענען קליין, אַזוי עס זענען געווען ווייניק מיסטייקס :).

טאָן. א פריערדיקן אַרטיקל וועגן FreeRDP פּרויעקט וועראַפאַקיישאַן קענען זיין געפֿונען דאָ.

רדעסקטאָפּ

רדעסקטאָפּ - אַ פריי ימפּלאַמענטיישאַן פון אַ RDP קליענט פֿאַר UNIX-באזירט סיסטעמען. עס קענען אויך זיין געוויינט אונטער Windows אויב איר בויען די פּרויעקט אונטער Cygwin. ליסענסעד אונטער GPLv3.

דער קליענט איז זייער פאָלקס - עס איז געניצט דורך פעליקייַט אין ReactOS, און איר קענען אויך געפֿינען דריט-פּאַרטיי גראַפיקאַל פראָנט ענדס פֿאַר אים. אָבער, ער איז גאַנץ אַלט: זיין ערשטער מעלדונג איז געווען אויף אפריל 4, 2001 - אין דער צייט פון שרייבן, ער איז 17 יאר אַלט.

ווי איך באמערקט פריער, די פּרויעקט איז זייער קליין. עס כּולל בעערעך 30 טויזנט שורות פון קאָד, וואָס איז אַ ביסל מאָדנע קאַנסידערינג זייַן עלטער. פֿאַר פאַרגלייַך, FreeRDP כּולל 320 טויזנט שורות. דאָ איז דער רעזולטאַט פון די Cloc פּראָגראַם:

ונרעאַטשאַבלע קאָד

ווקסנומקס אַנאַוויילאַבאַל קאָד דיטעקטאַד. עס איז מעגלעך אַז אַ טעות איז פאָרשטעלן. rdesktop.c 1502

int
main(int argc, char *argv[])
{
  ....
  return handle_disconnect_reason(deactivated, ext_disc_reason);

  if (g_redirect_username)
    xfree(g_redirect_username);

  xfree(g_username);
}

דער טעות ינקאַונטערז אונדז מיד אין די פֿונקציע הויפּט: מיר זען די קאָד קומען נאָך דער אָפּעראַטאָר צוריקקומען - דעם פראַגמענט פּערפאָרמז זכּרון רייניקונג. אָבער, דער טעות איז נישט אַ סאַקאָנע: אַלע אַלאַקייטיד זיקאָרן וועט זיין קלירד דורך די אָפּערייטינג סיסטעם נאָך די עגזיז פון די פּראָגראַם.

קיין טעות האַנדלינג

ווקסנומקס מענגע ונדעררון איז מעגלעך. די ווערט פון 'n' אינדעקס קען דערגרייכן -1. rdesktop.c 1872

RD_BOOL
subprocess(char *const argv[], str_handle_lines_t linehandler, void *data)
{
  int n = 1;
  char output[256];
  ....
  while (n > 0)
  {
    n = read(fd[0], output, 255);
    output[n] = ' '; // <=
    str_handle_lines(output, &rest, linehandler, data);
  }
  ....
}

דער קאָד סניפּאַט אין דעם פאַל לייענט פון דער טעקע אין אַ באַפער ביז די טעקע ענדס. אָבער, עס איז קיין טעות האַנדלינג דאָ: אויב עפּעס גייט פאַלש, דעמאָלט לייענען וועט צוריקקומען -1, און דער מענגע וועט זיין אָווועררון רעזולטאַט.

ניצן EOF אין טשאַר טיפּ

ווקסנומקס EOF זאָל ניט זיין קאַמפּערד מיט אַ ווערט פון די 'char' טיפּ. די '(c = fgetc (fp))' זאָל זיין פון די 'ינט' טיפּ. ctrl.c 500

int
ctrl_send_command(const char *cmd, const char *arg)
{
  char result[CTRL_RESULT_SIZE], c, *escaped;
  ....
  while ((c = fgetc(fp)) != EOF && index < CTRL_RESULT_SIZE && c != 'n')
  {
    result[index] = c;
    index++;
  }
  ....
}

דאָ מיר זען פאַלש האַנדלינג צו דערגרייכן דעם סוף פון דער טעקע: אויב fgetc קערט אַ כאַראַקטער וועמענס קאָד איז 0xFF, עס וועט זיין ינטערפּראַטאַד ווי דער סוף פון דער טעקע (EOF).

EOF עס איז אַ קעסיידערדיק, יוזשאַוואַלי דיפיינד ווי -1. פֿאַר בייַשפּיל, אין די CP1251 קאָדירונג, די לעצטע בריוו פון די רוסישע אלפאבעט האט די קאָד 0xFF, וואָס קאָראַספּאַנדז צו די נומער -1 אויב מיר זענען גערעדט וועגן אַ בייַטעוודיק ווי טאַנק. עס טורנס אויס אַז דער סימבאָל 0xFF, ווי EOF (-1) איז ינטערפּראַטאַד ווי דער סוף פון דער טעקע. צו ויסמיידן אַזאַ ערראָרס, דער רעזולטאַט פון די פֿונקציע איז fgetc זאָל זיין סטאָרד אין אַ בייַטעוודיק ווי ינט.

טיפּאָס

פראַגמענט 1

ווקסנומקס אויסדרוק 'שרייב_טיים' איז שטענדיק פאַלש. disk.c 805

RD_NTSTATUS
disk_set_information(....)
{
  time_t write_time, change_time, access_time, mod_time;
  ....
  if (write_time || change_time)
    mod_time = MIN(write_time, change_time);
  else
    mod_time = write_time ? write_time : change_time; // <=
  ....
}

טאָמער דער מחבר פון דעם קאָד האט עס פאַלש || и && אין צושטאַנד. זאל ס באַטראַכטן מעגלעך אָפּציעס פֿאַר וואַלועס שרייב_צייט и change_time:

• ביידע וועריאַבאַלז זענען גלייַך צו 0: אין דעם פאַל מיר וועלן ענדיקן אין אַ צווייַג אַנדערש: בייַטעוודיק mod_time וועט שטענדיק זיין 0 ראַגאַרדלאַס פון די סאַבסאַקוואַנט צושטאַנד.
• איינער פון די וועריאַבאַלז איז 0: mod_time וועט זיין גלייַך צו 0 (צוגעשטעלט אַז די אנדערע בייַטעוודיק האט אַ ניט-נעגאַטיוו ווערט), ווייַל מין וועט קלייַבן די קלענערער פון די צוויי אָפּציעס.
• ביידע וועריאַבאַלז זענען נישט גלייַך צו 0: קלייַבן די מינימום ווערט.

ווען ריפּלייסינג די צושטאַנד מיט שרייַבן_צייט && טוישן_צייט די נאַטור וועט קוקן ריכטיק:

• איינער אָדער ביידע וועריאַבאַלז זענען נישט גלייַך צו 0: קלייַבן אַ ניט-נול ווערט.
• ביידע וועריאַבאַלז זענען נישט גלייַך צו 0: קלייַבן די מינימום ווערט.

פראַגמענט 2

ווקסנומקס אויסדרוק איז שטענדיק אמת. מיסטאָמע דער '&&' אָפּעראַטאָר זאָל זיין געוויינט דאָ. disk.c 1419

static RD_NTSTATUS
disk_device_control(RD_NTHANDLE handle, uint32 request, STREAM in,
      STREAM out)
{
  ....
  if (((request >> 16) != 20) || ((request >> 16) != 9))
    return RD_STATUS_INVALID_PARAMETER;
  ....
}

דאָך זענען די אָפּערייטערז דאָ אויך געמישט || и &&אָדער == и !=: א בייַטעוודיק קען נישט האָבן די ווערט 20 און 9 אין דער זעלביקער צייט.

אַנלימאַטאַד שורה קאַפּיינג

ווקסנומקס א רוף פון די 'ספּרינטף' פֿונקציע וועט פירן צו לויפן פון די באַפער 'fullpath'. disk.c 1257

RD_NTSTATUS
disk_query_directory(....)
{
  ....
  char *dirname, fullpath[PATH_MAX];
  ....
  /* Get information for directory entry */
  sprintf(fullpath, "%s/%s", dirname, pdirent->d_name);
  ....
}

ווען איר קוק אין די פונקציע אין פול, עס וועט זיין קלאָר אַז דער קאָד טוט נישט פאַרשאַפן פּראָבלעמס. אָבער, זיי קען אויפשטיין אין דער צוקונפֿט: איין אָפּגעלאָזן טוישן און מיר וועלן באַקומען אַ באַפער לויפן - ספּרינט איז ניט באגרענעצט דורך עפּעס, אַזוי ווען קאַנקאַטאַנייטינג פּאַטס מיר קענען גיין ווייַטער פון די באַונדריז פון די מענגע. עס איז רעקאַמענדיד צו באַמערקן דעם רופן אויף snprintf (fullpath, PATH_MAX, ….).

יבעריק צושטאַנד

ווקסנומקס א טייל פון קאַנדישאַנאַל אויסדרוק איז שטענדיק אמת: לייגן> 0. scard.c 507

static void
inRepos(STREAM in, unsigned int read)
{
  SERVER_DWORD add = 4 - read % 4;
  if (add < 4 && add > 0)
  {
    ....
  }
}

Проверка לייגן> 0 עס איז ניט נויטיק דאָ: די בייַטעוודיק וועט שטענדיק זיין גרעסער ווי נול, ווייַל לייענען % 4 וועט צוריקקומען די רעשט פון די אָפּטייל, אָבער עס וועט קיינמאָל זיין גלייַך צו 4.

xrdp

xrdp - ימפּלאַמענטיישאַן פון אַ RDP סערווער מיט אָפֿן מקור קאָד. די פּרויעקט איז צעטיילט אין 2 טיילן:

• xrdp - פּראָטאָקאָל ימפּלאַמענטיישאַן. פונאנדערגעטיילט אונטער די Apache 2.0 דערלויבעניש.
• xorgxrdp - א סכום פון Xorg דריווערס פֿאַר נוצן מיט xrdp. License - X11 (ווי MIT, אָבער פּראָוכיבאַץ נוצן אין גאַנצע)

די אַנטוויקלונג פון די פּרויעקט איז באזירט אויף די רעזולטאַטן פון rdesktop און FreeRDP. טכילעס, צו אַרבעטן מיט גראַפיקס, איר האָבן צו נוצן אַ באַזונדער VNC סערווער אָדער אַ ספּעציעל X11 סערווער מיט RDP שטיצן - X11rdp, אָבער מיט די אַדווענט פון Xorgxrdp, די נויט פֿאַר זיי פאַרשווונדן.

אין דעם אַרטיקל מיר וועלן נישט דעקן xorgxrdp.

די xrdp פּרויעקט, ווי די פריערדיקע איינער, איז זייער קליין און כּולל בעערעך 80 טויזנט שורות.

מער טיפּ טעות

ווקסנומקס דער קאָד כּולל די זאַמלונג פון ענלעך בלאַקס. קוק די זאכן 'ר', 'ג', 'ר' אין די שורות 87, 88, 89. rfxencode_rgb_to_yuv.c 87

static int
rfx_encode_format_rgb(const char *rgb_data, int width, int height,
                      int stride_bytes, int pixel_format,
                      uint8 *r_buf, uint8 *g_buf, uint8 *b_buf)
{
  ....
  switch (pixel_format)
  {
    case RFX_FORMAT_BGRA:
      ....
      while (x < 64)
      {
          *lr_buf++ = r;
          *lg_buf++ = g;
          *lb_buf++ = r; // <=
          x++;
      }
      ....
  }
  ....
}

דער קאָד איז גענומען פון די ליברפקסקאָדעק ביבליאָטעק, וואָס ימפּלאַמאַנץ די jpeg2000 קאָדעק פֿאַר רעמאָטעפקס. דאָ, משמעות, די גראַפיק דאַטן טשאַנאַלז זענען געמישט - אַנשטאָט פון די "בלוי" קאָליר, "רויט" איז רעקאָרדעד. דער טעות איז מיסטאָמע ארויס ווי אַ רעזולטאַט פון קאָפּיע-פּאַסטע.

דער זעלביקער פּראָבלעם פארגעקומען אין אַ ענלעך פֿונקציע rfx_encode_format_argb, וואָס דער אַנאַליזער האָט אונדז אויך געזאָגט:

ווקסנומקס דער קאָד כּולל די זאַמלונג פון ענלעך בלאַקס. קוק די זאכן 'אַ', 'ר', 'ג', 'ר' אין די שורות 260, 261, 262, 263. rfxencode_rgb_to_yuv.c 260

while (x < 64)
{
    *la_buf++ = a;
    *lr_buf++ = r;
    *lg_buf++ = g;
    *lb_buf++ = r;
    x++;
}

מענגע דעקלאַראַציע

ווקסנומקס מענגע אָווועררון איז מעגלעך. די ווערט פון 'איך — 8' אינדעקס קען דערגרייכן 129. genkeymap.c 142

// evdev-map.c
int xfree86_to_evdev[137-8+1] = {
  ....
};

// genkeymap.c
extern int xfree86_to_evdev[137-8];

int main(int argc, char **argv)
{
  ....
  for (i = 8; i <= 137; i++) /* Keycodes */
  {
    if (is_evdev)
        e.keycode = xfree86_to_evdev[i-8];
    ....
  }
  ....
}

די דעקלאַראַציע און דעפֿיניציע פון ​​די מענגע אין די צוויי טעקעס זענען ינקאַמפּאַטאַבאַל - די גרייס איז אַנדערש דורך 1. אָבער, קיין ערראָרס פאַלן - די ריכטיק גרייס איז ספּעסיפיעד אין די evdev-map.c טעקע, אַזוי עס איז קיין אויס פון גווול. אַזוי דאָס איז נאָר אַ זשוק וואָס קענען זיין לייכט פאַרפעסטיקט.

פאַלש פאַרגלייַך

ווקסנומקס א טייל פון קאַנדישאַנאַל אויסדרוק איז שטענדיק פאַלש: (קאַפּ_לען < 0). xrdp_caps.c 616

// common/parse.h
#if defined(B_ENDIAN) || defined(NEED_ALIGN)
#define in_uint16_le(s, v) do 
....
#else
#define in_uint16_le(s, v) do 
{ 
    (v) = *((unsigned short*)((s)->p)); 
    (s)->p += 2; 
} while (0)
#endif

int
xrdp_caps_process_confirm_active(struct xrdp_rdp *self, struct stream *s)
{
  int cap_len;
  ....
  in_uint16_le(s, cap_len);
  ....
  if ((cap_len < 0) || (cap_len > 1024 * 1024))
  {
    ....
  }
  ....
}

די פֿונקציע לייענט אַ טיפּ בייַטעוודיק ונסיגנעד קורץ אין אַ בייַטעוודיק ווי ינט. קאָנטראָלירונג איז ניט דארף דאָ ווייַל מיר לייענען אַן אַנסיינד בייַטעוודיק און אַסיינינג די רעזולטאַט צו אַ גרעסערע בייַטעוודיק, אַזוי די בייַטעוודיק קען נישט נעמען אַ נעגאַטיוו ווערט.

ומנייטיק טשעקס

ווקסנומקס א טייל פון קאַנדישאַנאַל אויסדרוק איז שטענדיק אמת: (בפּפּ != 16). libxrdp.c 704

int EXPORT_CC
libxrdp_send_pointer(struct xrdp_session *session, int cache_idx,
                     char *data, char *mask, int x, int y, int bpp)
{
  ....
  if ((bpp == 15) && (bpp != 16) && (bpp != 24) && (bpp != 32))
  {
      g_writeln("libxrdp_send_pointer: error");
      return 1;
  }
  ....
}

ינאַקוואַלאַטי טשעקס טאָן ניט זינען דאָ זינט מיר שוין האָבן אַ פאַרגלייַך אין די אָנהייב. עס איז מסתּמא אַז דאָס איז אַ טיפּאָ און דער דעוועלאָפּער געוואלט צו נוצן דעם אָפּעראַטאָר || צו פילטערן אומגילטיגע טענות.

סאָף

בעשאַס די קאָנטראָלירן, קיין ערנסט ערראָרס זענען יידענאַפייד, אָבער פילע שאָרטקאָמינגס זענען געפונען. אָבער, די דיזיינז זענען געניצט אין פילע סיסטעמען, כאָטש קליין אין פאַרנעם. א קליין פּרויעקט טוט נישט דאַווקע האָבן פילע ערראָרס, אַזוי איר זאָל נישט ריכטער די פאָרשטעלונג פון די אַנאַליזער בלויז אויף קליין פּראַדזשעקס. איר קענט לייענען מער וועגן דעם אין דעם אַרטיקל "געפילן וואָס זענען באשטעטיקט דורך נומערן".

איר קענען אראפקאפיע אַ פּראָצעס ווערסיע פון ​​PVS-Studio פֿון אונדז אָנליין.

אויב איר ווילן צו טיילן דעם אַרטיקל מיט אַן ענגליש-גערעדט וילעם, ביטע נוצן די איבערזעצונג לינק: Sergey Larin. קאָנטראָלירונג rdesktop און xrdp מיט PVS-Studio

מקור: www.habr.com