BADFUNC.BO.STRCPY : strcpyの使用

JavaScript is not currently enabled, but is required for full CodeSonar manual search and browse functionality.

If you are viewing this file in your hub's Web GUI, enable JavaScript in your browser: you will also need it for GUI functionality.

If you opened this file directly from disk, your browser may be directly suppressing JavaScript functionality: certain browsers perform this suppression on local files (but not files delivered by web servers) for security reasons.

If you access the manual through the hub's Web GUI, the functionality will not be suppressed because the hub is a web server.
Alternatively, your browser may allow you to explicitly disable the security setting that suppresses functionality. See the CodeSonar FAQ for more information.

バッファオーバーランに対して脆弱な strcpy() もしくは同様の関数を使用しています。

クラス名

Use of strcpy

日本語クラス名

strcpyの使用

クラス分類

セキュリティ (security)

ニーモニック

BADFUNC.BO.STRCPY

カテゴリー

MisraC2023	MisraC2023:21.17	Use of the string handling functions from <string.h> shall not result in accesses beyond the bounds of the objects referenced by their pointer parameters
Misra2012	Misra2012:21.17	Use of the string handling functions from <string.h> shall not result in accesses beyond the bounds of the objects referenced by their pointer parameters
AUTOSARC++14	AUTOSARC++14:A5-2-5	An array or container shall not be accessed beyond its range.
	AUTOSARC++14:M18-0-5	The unbounded functions of library <cstring> shall not be used.
MisraC++2008	MisraC++2008:18-0-5	The unbounded functions of library <cstring> shall not be used.
MisraC++2023	MisraC++2023:21.2.2	The string handling functions from <cstring>, <cstdlib>, <cwchar> and <cinttypes> shall not be used
CWE	CWE:120	Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
	CWE:676	Use of Potentially Dangerous Function
TS17961	TS17961:5.36-taintstrcpy	5.36. Tainted strings are passed to a string copying function
CERT-C	CERT-C:STR07-C	Use the bounds-checking interfaces for string manipulation
CERT-CPP	CERT-CPP:CTR52-CPP	Guarantee that library functions do not overflow
DISA-6r1	DISA-6r1:V-222612	The application must not be vulnerable to overflow attacks.
DISA-5r3	DISA-5r3:V-70277	The application must not be vulnerable to overflow attacks.
DISA-4r3	DISA-4r3:V-70277	The application must not be vulnerable to overflow attacks.
DISA-3r10	DISA-3r10:V-6165	The designer will ensure the application does not have buffer overflows, use functions known to be vulnerable to buffer overflows, and does not use signed values for memory allocation where permitted by the programming language.
BSI	BSI:STRCPY	Use of strcpy

対応言語

C および C++ で利用可能です。

有効/無効設定

このワーニングクラスのチェックはデフォルトで無効になっています。チェックを有効にするにはプロジェクト設定ファイル（configuration file）に以下の WARNING_FILTER ルールを追加してください。

WARNING_FILTER += allow class="Use of strcpy"

全ての BSI 固有の BADFUNC クラスを含む BSI 関連クラスを有効にするには、 bsi 設定プリセットを使用してください。

_ftcscpy()
_mbscpy()
_tcscpy()
lstrcpy()
lstrcpyA()
lstrcpyW()
mbscpy()
olestrcpy()
strcpy()
StrCpy()
StrCCpy()
StrCAdd()
StrCpyA()
StrCpyW()
ualstrcpy()
ualstrcpyA()
ualstrcpyW()
wcscpy()

strncpy(), StrCbCopy(), StrCchCopy() の様に上限チェックを行っている関数を使用してください。

このクラスは一般テンプレート設定ファイルで BAD_FUNCTION_* ルールセットによって実装されています。

設定ファイルの以下のパラメータがこのワーニングクラスのチェックに影響します。

BADFUNC.BO.STRCPY : strcpyの使用

要旨

プロパティ

ワーニングを引き起こす関数

解決法

関連のある設定ファイルパラメータ