Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rustのunsound hole issue #25860を理解する

moratorium08
March 21, 2020
Programming
4
3.4k

Rustのunsound hole issue #25860を理解する

Rustの有名なunsound holeの一つである https://github.com/rust-lang/rust/issues/25860 についてまとめたものです。ライフタイム境界の推論と反変性を悪用し、unsafeを使うことなく未定義動作を引き起こすことができます。

もうCTFで出題されても困りますけど、供養のため。

moratorium08

March 21, 2020
Tweet

More Decks by moratorium08

See All by moratorium08
sig-docker-k8s-1-docker
moratorium08
0
1.8k

Other Decks in Programming

See All in Programming
Outline View in SwiftUI
1024jp
1
280
Generative AI Use Cases JP (略称:GenU)奮闘記
hideg
0
190
デプロイを任されたので、教わった通りにデプロイしたら障害になった件 ~俺のやらかしを越えてゆけ~
techouse
53
34k
GitHub Actionsのキャッシュと手を挙げることの大切さとそれに必要なこと
satoshi256kbyte
5
420
What’s New in Compose Multiplatform - A Live Tour (droidcon London 2024)
zsmb
1
440
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
500
シールドクラスをはじめよう / Getting Started with Sealed Classes
mackey0225
3
430
「今のプロジェクトいろいろ大変なんですよ、app/services とかもあって……」/After Kaigi on Rails 2024 LT Night
junk0612
4
1.9k
Macとオーディオ再生 2024/11/02
yusukeito
0
320
カスタムしながら理解するGraphQL Connection
yanagii
1
1.5k
EventSourcingの理想と現実
wenas
6
2.2k
JavaでLチカしたい! / JJUG CCC 2024 Fall LT
nhayato
0
110

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Building Applications with DynamoDB
mza
90
6.1k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
A Philosophy of Restraint
colly
203
16k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
360
Facilitating Awesome Meetings
lara
49
6.1k
It's Worth the Effort
3n
183
27k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Building an army of robots
kneath
302
42k
Designing for Performance
lara
604
68k
4 Signs Your Business is Dying
shpigford
180
21k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k

Transcript

  1. Rust issue #25860 を理解する moratorium08

  2. アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について

  3. 参照のライフタイム • 参照のライフタイムとは、ある参照が「どの範囲で有効である か」を表すもの • 例 https://doc.rust-lang.org/nomicon/lifetimes.html

  4. ライフタイム境界の推論 • ライフタイムの性質上、存在しえない型が存在する • 例: &ʼstatic &ʼa i32 • 参照の参照

    • ⼀段⽬の参照があるライフタイムa(≠static)なのに、それを指す参 照のライフタイムがstatic(aより⼤きい)にはなりえない • ⼀般に次のような関数のライフタイムを推論するとき • 「ライフタイムaはライフタイムbより⻑く⽣存する」と推論で きる

  5. 余興:パズル • 参照の参照、ライフタイムわかりますか? • https://twitter.com/qnighy/status/1190784351253880835 • mutは「ライフタイム中、他にどんなエイリアスも存在しない」こと を保証しているので、そう思って考えてください • やると、「推論者の気持ち」をイメージできるかもしれない

  6. アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について

  7. ライフタイムの部分型付け • 今、あるライフタイムʼaと、それを包含するライフタイムʼbが ある。 • このとき、ʼbはʼaに「部分型付け」することができる • 例 xのライフタイムをyの ライフタイムと同じものに

    縮めて良いのでコンパイルが通る

  8. variance • 先の参照の例は実は少し怪しい。 • なぜなら、「ライフタイムを縮めてよいか?」は型の”形”(型 コンストラクタ)によって異なるから • 参照は「共変(covariant)」な型コンストラクタなので、引数のライフ タイムの部分型関係の”⼤⼩”をそのまま、型全体の⼤⼩として扱って 良い

    • ⼀⽅、「ライフタイムを広げてもよい」場合がある。 • このような型コンストラクタを「反変(contravariant)」と⾔う • Rustでは「関数型の引数」において現れる

  9. 反変性 • 例: インフォーマルな⾔い⽅をすれば、 もともとʼa程度のライフタイムがあればよかったのだから、もっと広 げたシグネチャにしたところで、結局ʼa程度しか使われない(=引数と して与える参照のライフタイムより⼩さい)ので無問題だよね ライフタイムが⼤きくなっている

  10. アウトライン • ライフタイムとライフタイム境界の推論 • 部分型付けと共変性・反変性 • #25860について • PoCの解説 •

    対処 • 応⽤

  11. #25860 • 上述した「ライフタイム境界の推論」と反変性を“悪⽤”して、 ライフタイムを広げるような関数を書くことができる • すなわち、 となるような関数を作ることができる üメモリの破壊が可能

  12. PoCの解説 https://github.com/rust-lang/rust/issues/25860

  13. PoCの解説 https://github.com/rust-lang/rust/issues/25860 推論:ʼbはʼaより⻑い vはʼbである 部分型付け: よってvはライフタイムʼaにできる 部分型付け:関数型の引数は「広がればok」 xのライフタイムを広げられてしまった

  14. 対処 • あんまりfnなんて使わないし(普通、Rustで関数の値を扱う場 合は、FnやFnMutといったトレイトを使う)、contravariance をなくしても誰も困らへんやろ • さすがに、「負け」の解決策では • 関数のシグネチャで推論をする割に、どういう推論をしたかが 外から⾒えないのが悪いので、明⽰的に「ʼaとʼbの関係にどう

    いう仮定を置いたか」を(内部的な)型として持てばいい • 実装がめんどいね〜 • ということで(多分)、今なおこのバグは健在 • RalfJungは、この状況に少し不満で、fake-staticという煽りト レイトを作っている 型システムのunsoundnessは存在そのものが悪なので はやく対処してほしいね〜

  15. 応⽤:シェルの奪取プログラム • メモリの破壊ができるということは、すなわち関数ポインタの 書き換えといった破壊活動を、unsafeを使うことなく可能 • CTFの問題として出題 • Google CTF 2019

    Quals ‒ sandstone • 制約がほぼ無い(もちろんunsafeが使えない、#なしなどの基本的制約あり) • CONFidence CTF 2020 Teaser - crusty sandbox/crsty sandbox • ⽂字数制約(350バイト)、no_std、traitなし(#はあり) • まあ上に被らずに出題するのは新しいバグでも発⾒されない限 り難しそうですが。 • 出題者が無知な場合、Rust問の⾮想定解として利⽤できるかもしれない

  16. シェルを取るプログラムの⼀例 • 環境やコンパイルオプショ ンにかなり依存する • https://gist.github.com/mo ratorium08/0342a216e3143 7bb60261b7a4a836096 • 348bytes

  17. ref • https://github.com/nikomatsakis/rfcs/blob/sionara- contravariance/text/0000-wf-and-variance.md#appendix- forwhere-an-alternative-view • https://doc.rust-lang.org/nomicon/subtyping.html • https://github.com/rust-lang/rust/issues/25860