このエントリーは、名称の混乱と、偶発的な複数の組み合わせのため、非推奨となりました。
が混同され、複数の
の組み合わせのため、このエントリーは非推奨となりました。内容のほとんどは
CWE-785に移管されました。
このエントリーはいくつかの理由で非推奨となった。主な理由は
第一の理由は、"パス操作 "という用語とその説明のオーバーロードである。
の記述の過負荷です。このエントリの元の記述は
の項目と同じものでした:ファイルシステム」の項目と同じものでした。
と同じだった。しかし
には "Path Manipulation "というフレーズもあります。
パス名の外部制御(CWE-73)のためのものであり、これはシンボリックリンクの追跡やパスの操作の要因である。
シンボリックリンクをたどったり、パスをトラバースしたりすることである。
7PKでは明確に言及されていない。Fortifyは
しばしば悪用される:パス操作 "というフレーズを使用しています。
一般的にはバッファ管理に関連する問題である。
という表現を使っている。この用語の複数の矛盾した使われ方を考えると
CWEユーザーがこのエントリーに誤ってマッピングしている可能性があります。
をこのエントリに誤ってマッピングしている可能性があります。
非推奨の2つ目の理由は、バッファ処理機能における複数の弱点の組み合わせである。
バッファ処理関数内の複数の弱点である。この
このエントリーの焦点は、一般的にパス変換関数とバッファ処理関数との関連にあった。
関数とバッファ
オーバーフローである。しかし、FortifyのVulncatエントリーの中には、「パス操作」という言葉を持ちながら、オーバーフロー以外の弱点を記述しているものもある。
しかし、Fortify の Vulncat エントリの中には、「パス操作」という用語はあるが、オーバーフローではない弱点を記述しているものもある。
バッファがパス名全体を含むことが保証されないという、オーバーフローではない弱点を記述しています。
パス名全体がバッファに含まれることが保証されない、つまり情報の切り捨てがあるという、オーバーフロー以外の弱点を記述しているものもあります(同様の概念については CWE-222
を参照)。この非オーバーフローの弱点
将来のバージョンの CWE では、この非オーバーフローの弱点に対する新しいエントリが作成されるかもしれません。
This entry has been deprecated because of name
confusion and an accidental combination of multiple
weaknesses. Most of its content has been transferred to
CWE-785.
This entry was deprecated for several reasons. The primary
reason is over-loading of the "path manipulation" term and the
description. The original description for this entry was the
same as that for the "Often Misused: File System" item in the
original Seven Pernicious Kingdoms paper. However, Seven
Pernicious Kingdoms also has a "Path Manipulation" phrase that
is for external control of pathnames (CWE-73), which is a
factor in symbolic link following and path traversal, neither
of which is explicitly mentioned in 7PK. Fortify uses the
phrase "Often Misused: Path Manipulation" for a broader range
of problems, generally for issues related to buffer
management. Given the multiple conflicting uses of this term,
there is a chance that CWE users may have incorrectly mapped
to this entry.
The second reason for deprecation is an implied combination of
multiple weaknesses within buffer-handling functions. The
focus of this entry was generally on the path-conversion
functions and their association with buffer
overflows. However, some of Fortify's Vulncat entries have the
term "path manipulation" but describe a non-overflow weakness
in which the buffer is not guaranteed to contain the entire
pathname, i.e., there is information truncation (see CWE-222
for a similar concept). A new entry for this non-overflow
weakness may be created in a future version of CWE.
不明