Rustのunsound hole issue #25860を理解する

Rust issue #25860 を理解する moratorium08

アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について

参照のライフタイム • 参照のライフタイムとは、ある参照が「どの範囲で有効であるか」を表すもの • 例 https://doc.rust-lang.org/nomicon/lifetimes.html

ライフタイム境界の推論 • ライフタイムの性質上、存在しえない型が存在する • 例： &ʼstatic &ʼa i32 • 参照の参照
• ⼀段⽬の参照があるライフタイムa（≠static）なのに、それを指す参照のライフタイムがstatic（aより⼤きい）にはなりえない • ⼀般に次のような関数のライフタイムを推論するとき • 「ライフタイムaはライフタイムbより⻑く⽣存する」と推論できる

余興：パズル • 参照の参照、ライフタイムわかりますか？ • https://twitter.com/qnighy/status/1190784351253880835 • mutは「ライフタイム中、他にどんなエイリアスも存在しない」ことを保証しているので、そう思って考えてください • やると、「推論者の気持ち」をイメージできるかもしれない

アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について

ライフタイムの部分型付け • 今、あるライフタイムʼaと、それを包含するライフタイムʼbがある。 • このとき、ʼbはʼaに「部分型付け」することができる • 例 xのライフタイムをyのライフタイムと同じものに
縮めて良いのでコンパイルが通る

variance • 先の参照の例は実は少し怪しい。 • なぜなら、「ライフタイムを縮めてよいか？」は型の”形”（型コンストラクタ）によって異なるから • 参照は「共変(covariant)」な型コンストラクタなので、引数のライフタイムの部分型関係の”⼤⼩”をそのまま、型全体の⼤⼩として扱って良い
• ⼀⽅、「ライフタイムを広げてもよい」場合がある。 • このような型コンストラクタを「反変(contravariant)」と⾔う • Rustでは「関数型の引数」において現れる

反変性 • 例：インフォーマルな⾔い⽅をすれば、もともとʼa程度のライフタイムがあればよかったのだから、もっと広げたシグネチャにしたところで、結局ʼa程度しか使われない(=引数として与える参照のライフタイムより⼩さい）ので無問題だよねライフタイムが⼤きくなっている

アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について • PoCの解説 •
対処 • 応⽤

#25860 • 上述した「ライフタイム境界の推論」と反変性を“悪⽤”して、ライフタイムを広げるような関数を書くことができる • すなわち、となるような関数を作ることができる üメモリの破壊が可能

PoCの解説 https://github.com/rust-lang/rust/issues/25860

PoCの解説 https://github.com/rust-lang/rust/issues/25860 推論：ʼbはʼaより⻑い vはʼbである部分型付け：よってvはライフタイムʼaにできる部分型付け：関数型の引数は「広がればok」 xのライフタイムを広げられてしまった

対処 • あんまりfnなんて使わないし（普通、Rustで関数の値を扱う場合は、FnやFnMutといったトレイトを使う）、contravariance をなくしても誰も困らへんやろ • さすがに、「負け」の解決策では • 関数のシグネチャで推論をする割に、どういう推論をしたかが外から⾒えないのが悪いので、明⽰的に「ʼaとʼbの関係にどう
いう仮定を置いたか」を（内部的な）型として持てばいい • 実装がめんどいね〜 • ということで（多分）、今なおこのバグは健在 • RalfJungは、この状況に少し不満で、fake-staticという煽りトレイトを作っている型システムのunsoundnessは存在そのものが悪なのではやく対処してほしいね〜

応⽤：シェルの奪取プログラム • メモリの破壊ができるということは、すなわち関数ポインタの書き換えといった破壊活動を、unsafeを使うことなく可能 • CTFの問題として出題 • Google CTF 2019
Quals ‒ sandstone • 制約がほぼ無い（もちろんunsafeが使えない、#なしなどの基本的制約あり） • CONFidence CTF 2020 Teaser - crusty sandbox/crsty sandbox • ⽂字数制約(350バイト）、no_std、traitなし（#はあり） • まあ上に被らずに出題するのは新しいバグでも発⾒されない限り難しそうですが。 • 出題者が無知な場合、Rust問の⾮想定解として利⽤できるかもしれない

シェルを取るプログラムの⼀例 • 環境やコンパイルオプションにかなり依存する • https://gist.github.com/mo ratorium08/0342a216e3143 7bb60261b7a4a836096 • 348bytes

ref • https://github.com/nikomatsakis/rfcs/blob/sionara- contravariance/text/0000-wf-and-variance.md#appendix- forwhere-an-alternative-view • https://doc.rust-lang.org/nomicon/subtyping.html • https://github.com/rust-lang/rust/issues/25860

Rustのunsound hole issue #25860を理解する

Rustのunsound hole issue #25860を理解する

moratorium08

More Decks by moratorium08

Other Decks in Programming

Featured

Transcript

Rust issue #25860 を理解する moratorium08

アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について

参照のライフタイム • 参照のライフタイムとは、ある参照が「どの範囲で有効であるか」を表すもの • 例 https://doc.rust-lang.org/nomicon/lifetimes.html

ライフタイム境界の推論 • ライフタイムの性質上、存在しえない型が存在する • 例： &ʼstatic &ʼa i32 • 参照の参照

アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について

ライフタイムの部分型付け • 今、あるライフタイムʼaと、それを包含するライフタイムʼbがある。 • このとき、ʼbはʼaに「部分型付け」することができる • 例 xのライフタイムをyのライフタイムと同じものに

アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について • PoCの解説 •

#25860 • 上述した「ライフタイム境界の推論」と反変性を“悪⽤”して、ライフタイムを広げるような関数を書くことができる • すなわち、となるような関数を作ることができる üメモリの破壊が可能

PoCの解説 https://github.com/rust-lang/rust/issues/25860

PoCの解説 https://github.com/rust-lang/rust/issues/25860 推論：ʼbはʼaより⻑い vはʼbである部分型付け：よってvはライフタイムʼaにできる部分型付け：関数型の引数は「広がればok」 xのライフタイムを広げられてしまった

応⽤：シェルの奪取プログラム • メモリの破壊ができるということは、すなわち関数ポインタの書き換えといった破壊活動を、unsafeを使うことなく可能 • CTFの問題として出題 • Google CTF 2019

シェルを取るプログラムの⼀例 • 環境やコンパイルオプションにかなり依存する • https://gist.github.com/mo ratorium08/0342a216e3143 7bb60261b7a4a836096 • 348bytes

ref • https://github.com/nikomatsakis/rfcs/blob/sionara- contravariance/text/0000-wf-and-variance.md#appendix- forwhere-an-alternative-view • https://doc.rust-lang.org/nomicon/subtyping.html • https://github.com/rust-lang/rust/issues/25860