Un dépassement d'entier (integer overflow) ou erreur d'opérande est, en informatique, une condition qui se produit lorsqu'une opération mathématique produit une valeur numérique supérieure à celle représentable dans l'espace de stockage disponible. Par exemple, l'ajout d'une unité au plus grand nombre pouvant être représenté entraîne un dépassement d'entier. Le dépassement d'entier porte le numéro CWE-190[1] dans la nomenclature Common Weakness Enumeration.
Le dépassement d'entier le plus célèbre de ces dernières années est très probablement celui qui causa la destruction de la fusée Ariane 5, lors de son vol inaugural, le .
Origine
Le nombre de bits d'un espace de stockage détermine la valeur maximale qui peut y être représentée. Les nombres de bits des espaces de stockage les plus courants et les valeurs maximales associées sont :
- 8 bits : valeur maximum représentable = 28 - 1 = 255 ;
- 16 bits : valeur maximum représentable = 216 - 1 = 65 535 ;
- 32 bits : valeur maximum représentable = 232 - 1 = 4 294 967 295 ;
- 64 bits : (qui est la valeur la plus courante des ordinateurs personnels) valeur maximum représentable = 264 - 1 = 18 446 744 073 709 551 615 ;
- 128 bits : valeur maximum représentable = 2128 - 1 = 340 282 366 920 938 463 463 374 607 431 768 211 455
Puisqu'une opération mathématique peut produire un résultat plus grand que la valeur maximale représentable, une impossibilité d'enregistrer le résultat de l'opération peut survenir. Cette condition d'erreur résulte en un message d'erreur ou en la troncature du résultat qui est alors erroné.
Par exemple, le langage C comporte plusieurs types numériques qui permettent de choisir la taille de mémoire à allouer en fonction des plus grands nombres que l'on veut représenter.
Exemple
L'exemple suivant est tiré d'une vulnérabilité réelle touchant OpenSSH (versions 2.9.9 à 3.3) et ayant le numéro d'identifiant CVE suivant : CVE-2002-0639[2].
L'extrait de code source ci-dessous, extrait d'OpenSSH, est en langage C, les commentaires ont été ajoutés par souci de clarté.
// extrait un entier d'un paquet reçu par OpenSSH.
nresp = packet_get_int();
if (nresp > 0) {
// alloue un tampon de: nresp * 4 octets
response = xmalloc(nresp*sizeof(char*));
for (i = 0; i < nresp; i++)
response[i] = packet_get_string(NULL);
}
Dans le code présenté ci-dessus, un entier est extrait d'un paquet reçu par OpenSSH. Cet entier est ensuite multiplié par la taille (sizeof) d'un pointeur de char, c'est-à-dire habituellement 4 octets sur un système en 32 bit. Le résultat de cette multiplication est ensuite passé en paramètre à la fonction xmalloc (semblable à malloc) qui sert à allouer un tampon.
Si l'entier reçu dans le paquet (variable nresp) a une valeur de 1 073 741 824, le résultat de l'opération « nresp*sizeof(char*)
» équivaut à :
- 1 073 741 824×4 = 4 294 967 296.
La valeur maximale représentable d'un entier sur 32 bits étant de 232 - 1, la troncature s'opère donc à 232. Le paramètre passé à la fonction xmalloc
dans le code vaut donc (où %
est l'opérateur modulo) :
(1073741824 * 4) % 232 = 0
soit en écriture mathématique standard
- (1 073 741 824×4) ≡ 0 [232]
Comme dans la plupart des cas les allocations mémoire autorisent une allocation de 0 octet, la fonction xmalloc
renvoie un pointeur valide sur un tampon de 0 octet. La boucle suivant directement la fonction d'allocation va ajouter des données dans ce tampon de 0 octet provoquant alors un dépassement de tas.
Références
Voir aussi
- Soupassement arithmétique
- Dépassement de tampon
- Dépassement de tas
- Bug de l'an 2038
- GPS week number rollover, exemple de débordement d'entier, pour le système de positionnement par satellites.