当前位置: 首页 > ai >正文

OpenSSL 内存泄漏修复全景:119 个历史 Commit 的类型分析与防御启示

ai 2025/7/5 15:12:26

1 前言

openssl 开源库作为 C/C++ 项目中常用的组件库,截至 2025年7月4日 ,openssl 的提交记录包含 119 个 Fix memory leak

本文基于源码 Commit 分析,揭示了 OpenSSL 内存泄漏修复从被动应对到主动防御的演进趋势,给各位 C/C++ 开发者提供了从漏洞分类到防御实践的完整参考。

2 内存泄漏类型分类

1. 动态内存分配未释放

  • 场景:使用malloc/new分配内存后未调用free/delete释放
  • Commit ID示例
    • 6543f34:PKCS7_add_signed_attribute失败时未释放seq指针
    • 20a2f3b:ecdsa_keygen_knownanswer_test未释放EC_POINT对象
    • d48874a:sk_OPENSSL_STRING_push返回失败时未释放字符串数组

示例代码 DIFF:

-    return PKCS7_add_signed_attribute(si, NID_id_smime_aa_signingCertificate,
-                                      V_ASN1_SEQUENCE, seq);
+    if (!PKCS7_add_signed_attribute(si, NID_id_smime_aa_signingCertificate,
+                                    V_ASN1_SEQUENCE, seq)) {
+        ASN1_STRING_free(seq);
+        return 0;
+    }
+    return 1;
  • 发现方式:人工代码审查、单元测试

2. 资源句柄未关闭

  • 场景:BIO对象、SSL会话、文件句柄等资源未正确释放
  • Commit ID示例
    • 857c223:load_key_certs_crls使用stdin时未关闭BIO对象
    • 9561e2a:PSK会话文件加载后未释放会话资源
    • 35b1a43:tls_decrypt_ticket未释放HMAC_CTX和EVP_CIPHER_CTX

示例代码 DIFF:

-    return PKCS7_add_signed_attribute(si, NID_id_smime_aa_signingCertificate,
-                                      V_ASN1_SEQUENCE, seq);
+    if (!PKCS7_add_signed_attribute(si, NID_id_smime_aa_signingCertificate,
+                                    V_ASN1_SEQUENCE, seq)) {
+        ASN1_STRING_free(seq);
+        return 0;
+    }
+    return 1;
  • 发现方式:Valgrind内存分析、功能测试

3. 容器/栈内存泄漏

  • 场景:数组、链表等容器结构在错误路径未清空
  • Commit ID示例
    • 1c42216:crl2pkcs7工具错误路径未释放OPENSSL_STRING栈
    • 55500ea:X509_verify_cert未释放证书扩展数据栈
    • 4798e06:X509V3_add1_i2d未释放证书扩展对象

示例代码 DIFF:

         bio = BIO_new_fp(stdin, 0);
-        if (bio != NULL)
+        if (bio != NULL) {ctx = OSSL_STORE_attach(bio, "file", libctx, propq,get_ui_method(), &uidata, NULL, NULL);
+            BIO_free(bio);
+        }
  • 发现方式:Coverity静态分析、集成测试

4. 跨模块资源泄漏

  • 场景:引擎(ENGINE)、密码学模块间资源未协调释放
  • Commit ID示例
    • 8c63b14:engine_cleanup_add_first未释放引擎辅助结构
    • a076951:X509_PUBKEY_set创建新密钥后未释放旧资源
    • 3a1d2b5:i2d_ASN1_bio_stream未释放ASN.1编解码状态数据

示例代码 DIFF:

item = int_cleanup_item(cb);
-    if (item)
-        sk_ENGINE_CLEANUP_ITEM_insert(cleanup_stack, item, 0);
+    if (item != NULL)
+        if (sk_ENGINE_CLEANUP_ITEM_insert(cleanup_stack, item, 0) <= 0)
+            OPENSSL_free(item);
  • 发现方式:模块间接口测试、人工代码审查

5. 异常处理路径泄漏

  • 场景:函数在异常/错误返回时未执行清理逻辑
  • Commit ID示例
    • 009fa4f:test_evp_cipher_pipeline错误时未释放密码学上下文
    • fa856b0:copy_issuer中sk_GENERAL_NAME_reserve失败未释放ialt
    • b2474b2:tls_parse_ctos_psk错误路径未释放SSL_SESSION

示例代码 DIFF:

if (sesstmp == NULL) {SSLfatal(s, SSL_AD_INTERNAL_ERROR, ERR_R_INTERNAL_ERROR);
-                return 0;
+                goto err;
}
SSL_SESSION_free(sess);
sess = sesstmp;
  • 发现方式:错误注入测试、AddressSanitizer

3 测试与验证方式分类

1. 静态分析工具

  • 工具:Coverity、Clang Scan-Build
  • Commit ID示例
    • 009fa4f:Coverity检测到test_evp_cipher_pipeline泄漏
    • 33c4187:Coverity发现apps/cmp.c资源泄漏
    • 8515534:Coverity报告crltest错误路径泄漏

示例代码 DIFF:

-    aint = ASN1_INTEGER_new();
-    if (aint == NULL || !ASN1_INTEGER_set(aint, value))
+    if ((aint = ASN1_INTEGER_new()) == NULL)goto oom;val = ASN1_TYPE_new();
-    if (val == NULL) {
+    if (!ASN1_INTEGER_set(aint, value) || val == NULL) {ASN1_INTEGER_free(aint);goto oom;}
@@ -2065,6 +2064,7 @@ static int handle_opt_geninfo(OSSL_CMP_CTX *ctx)return 1;oom:
+    ASN1_OBJECT_free(type);CMP_err("out of memory");return 0;}
  • 特点:可发现代码逻辑缺陷,提前预防泄漏

2. 动态内存检测

  • 工具:AddressSanitizer(ASan)、Valgrind
  • Commit ID示例
    • a906436:ASan检测到x509_req_test中53字节泄漏
    • 6b5c7ef:ASan发现TLS1.2压缩导致35KB泄漏
    • 9c7a780:Valgrind定位到内存泄漏报告未释放bio_err

示例代码 DIFF:

@@ -435,6 +431,10 @@ int main(int Argc, char *ARGV[])#endifapps_shutdown();CRYPTO_mem_leaks(bio_err);
+    if (bio_err != NULL) {
+        BIO_free(bio_err);
+        bio_err = NULL;
+    }OPENSSL_EXIT(ret);}
  • 特点:运行时捕获实际泄漏,定位具体分配位置

3. 单元与功能测试

  • 场景:密钥生成、证书验证、加密解密等测试用例
  • Commit ID示例
    • 21f0b80:ssl_old_test.c中TLS密钥协商测试泄漏
    • 81d61a6:ectest椭圆曲线测试未释放临时密钥
    • c5d0612:asynctest异步测试未调用清理函数
  • 发现方式:测试覆盖率分析、持续集成(CI)

4. 模糊测试(Fuzzing)

  • 工具:libFuzzer、oss-fuzz
  • Commit ID示例
    • 6afef8b:libFuzzer发现无效CertificateRequest泄漏
    • 1400f01:libFuzzer检测到ASN.1编解码泄漏
    • a1d6a0b:oss-fuzz发现tls_parse_stoc_key_share泄漏

示例代码 DIFF:

@@ -1027,6 +1027,7 @@ int tls_parse_stoc_key_share(SSL *s, PACKET *pkt, int *al)PACKET_remaining(&encoded_pt))) {*al = SSL_AD_DECODE_ERROR;SSLerr(SSL_F_TLS_PARSE_STOC_KEY_SHARE, SSL_R_BAD_ECPOINT);
+        EVP_PKEY_free(skey);return 0;}
  • 特点:通过异常输入触发边缘场景泄漏

4 防御与修复措施分类

1. 错误处理优化

  • 措施:统一使用goto err模式,确保所有路径释放资源
  • Commit ID示例
    • 6543f34:在失败路径添加free(seq)
    • fa856b0:在通用错误路径添加sk_GENERAL_NAME_free(ialt)
    • b2474b2:错误路径中调用SSL_SESSION_free(sess)
  • 实现方式:代码重构,增加统一清理标签

示例代码 DIFF:

@@ -648,8 +648,12 @@ static int ossl_ess_add1_signing_cert(PKCS7_SIGNER_INFO *si,}OPENSSL_free(pp);
-    return PKCS7_add_signed_attribute(si, NID_id_smime_aa_signingCertificate,
-                                      V_ASN1_SEQUENCE, seq);
+    if (!PKCS7_add_signed_attribute(si, NID_id_smime_aa_signingCertificate,
+                                    V_ASN1_SEQUENCE, seq)) {
+        ASN1_STRING_free(seq);
+        return 0;
+    }
+    return 1;}

2. 智能指针与引用计数

  • 措施:使用组件特定释放函数(如SSL_SESSION_free)
  • Commit ID示例
    • 4798e06:使用X509V3_EXT_free释放扩展对象
    • 70f589a:BN_rand_range提前检查rnd指针NULL
    • 20c7feb:DTLS记录层释放前检查消息缓冲区
  • 实现方式:封装资源管理类,自动处理生命周期

示例代码 DIFF:

@@ -136,6 +136,11 @@ static int bnrand_range(BNRAND_FLAG flag, BIGNUM *r, const BIGNUM *range,int n;int count = 100;+    if (r == NULL) {
+        ERR_raise(ERR_LIB_BN, ERR_R_PASSED_NULL_PARAMETER);
+        return 0;
+    }
+

3. 防御性编程

  • 措施:分配前验证参数,失败时立即释放已分配资源
  • Commit ID示例
    • d48874a:检查sk_OPENSSL_STRING_push返回值
    • 19b87d2:s390x_HMAC_CTX_copy先释放目标缓冲区
    • 62b0a0d:CTLOG_new_from_base64限制填充字符数
  • 实现方式:前置条件检查,分层错误处理

4. 工具辅助修复

  • 措施:集成静态分析结果,针对性修复
  • Commit ID示例
    • 33c4187:根据Coverity报告修复apps/cmp.c泄漏
    • 8515534:根据Valgrind输出修复BIO引用计数
    • d0a4b7d:修复libFuzzer发现的DTLS碎片泄漏
  • 实现方式:建立漏洞修复工作流,关联工具报告

5 代码提交分析

泄漏类型部分Commit ID示例发现方式
动态内存未释放6543f34, 20a2f3b, d48874a, 70f589a人工审查、单元测试
资源句柄未关闭857c223, 9561e2a, 35b1a43, 28adea9Valgrind、功能测试
容器/栈泄漏1c42216, 55500ea, 4798e06, 74c929dCoverity、集成测试
跨模块资源泄漏8c63b14, a076951, 3a1d2b5, 981a5b7接口测试、人工审查
异常路径泄漏009fa4f, fa856b0, b2474b2, 026e012错误注入、ASan
静态分析发现009fa4f, 33c4187, 8515534, a1d6a0bCoverity、Clang Scan-Build
动态内存检测a906436, 6b5c7ef, 9c7a780, d0a4b7dASan、Valgrind
单元功能测试21f0b80, 81d61a6, c5d0612, 875db35CI测试、覆盖率分析
模糊测试发现6afef8b, 1400f01, a1d6a0b, 1b8f193libFuzzer、oss-fuzz

可以在命令行通过 git show <Commit ID> 查看特定提交的详细信息。

6 总结

OpenSSL内存泄漏修复呈现以下特点:

  1. 泄漏成因:错误处理路径遗漏释放、跨模块资源管理不一致、高并发场景竞争条件。
  2. 检测手段:静态分析( Coverity )、动态检测( ASan )、模糊测试( libFuzzer )形成互补。
  3. 修复趋势:从被动修复转向主动防御,通过RAII原则和智能指针减少人为错误。
  4. 最佳实践:统一错误处理模式、定期运行内存分析工具、在CI中集成泄漏检测。

我的后续文章将具体讲解这些典型漏洞的原理检测工具的具体应用

http://www.xdnf.cn/news/14790.html

相关文章:

  • uniapp 微信小程序水印
  • bug记录::= 给全局变量赋值导致出现panic
  • Python大模型应用开发实践 - 初探
  • 金融系统中常用的FIX协议
  • 【三维重建】Flow Distillation Sampling:使用匹配先验的正则3DGS
  • 【阿里巴巴JAVA开发手册】IDE的text file encoding设置为UTF-8; IDE中文件的换行符使用Unix格式,不要使用Windows格式。
  • 物联网中的Unity/Unreal引擎集成:数字孪生与可视化控制
  • RabbitMQ 高级特性之死信队列
  • C++完美转发:实现高效的参数传递
  • 「日拱一码」017 深度学习常用库——TensorFlow
  • AI知识图谱在行业的应用
  • 微信小程序——skyline版本问题
  • 设计模式(九)
  • {{ }}和v-on:click
  • 两级缓存 Caffeine + Redis 架构:原理、实现与实践
  • Bean属性转换框架深度对比:从BeanUtils到MapStruct的演进之路
  • 【AI News | 20250702】每日AI进展
  • 修改阿里云vps为自定义用户登录
  • 大数据救公益:数字时代下的社会力量如何玩转“数据+善意”
  • 项目——视频共享系统测试
  • Element UI 完整使用实战示例
  • 【Python】图像识别的常用功能函数
  • c++ 的标准库 --- std::
  • 使用numpy的快速傅里叶变换的一些问题
  • x86汇编语言入门基础(三)汇编指令篇1 逻辑位运算
  • 6. 常见K线形态(楔形与旗形)
  • docker 介绍
  • redis缓存三大问题分析与解决方案
  • 在银河麒麟V10 SP1上手动安装与配置高版本Docker的完整指南
  • 归并排序详解