[インデックス 15404] ファイルの概要
コミット
commit 5a8b7dc6d009bd95f5904b4250107ef57c163c22
Author: Shenghou Ma <minux.ma@gmail.com>
Date: Sun Feb 24 22:47:22 2013 +0800
runtime: remove PROT_EXEC from mmap calls.
Executable heap is gone on Unix!
R=golang-dev, dave, bradfitz
CC=golang-dev
https://golang.org/cl/7405045
GitHub上でのコミットページへのリンク
https://github.com/golang/go/commit/5a8b7dc6d009bd95f5904b4250107ef57c163c22
元コミット内容
このコミットは、Goランタイムにおけるmmap
システムコールからPROT_EXEC
フラグを削除することを目的としています。コミットメッセージには「Executable heap is gone on Unix!」と明記されており、これはUnix系システムにおいて実行可能なヒープメモリが廃止されたことを示唆しています。具体的には、src/pkg/runtime/mem_darwin.c
、src/pkg/runtime/mem_freebsd.c
、src/pkg/runtime/mem_linux.c
、src/pkg/runtime/mem_netbsd.c
、src/pkg/runtime/mem_openbsd.c
の5つのファイルで変更が行われ、PROT_READ|PROT_WRITE|PROT_EXEC
がPROT_READ|PROT_WRITE
に置き換えられています。
変更の背景
この変更の背景には、セキュリティの強化と、現代のオペレーティングシステムにおけるメモリ管理の進化があります。かつては、JIT (Just-In-Time) コンパイルや動的なコード生成を行うアプリケーションでは、ヒープ領域に実行可能なメモリを確保することが一般的でした。しかし、これにより攻撃者が悪意のあるコードをヒープに注入し、それを実行させるという「コードインジェクション」や「Return-to-libc攻撃」などのセキュリティ脆弱性が生じる可能性がありました。
オペレーティングシステムベンダーは、このような攻撃を防ぐために、データ領域とコード領域を厳密に分離する方針を強化してきました。特に、ヒープ領域を「実行不可」とマークすることで、データとして扱われるべきメモリ領域からコードが実行されることを防ぐようになりました。Goランタイムもこのセキュリティ強化のトレンドに追随し、ヒープメモリにPROT_EXEC
フラグを付与する必要がなくなったため、このフラグを削除する変更が行われました。
この変更は、Go言語のセキュリティモデルを強化し、より堅牢なアプリケーションを構築するための重要なステップと言えます。
前提知識の解説
1. mmap
システムコール
mmap
(memory map) は、Unix系オペレーティングシステムで利用されるシステムコールの一つで、ファイルやデバイス、または匿名メモリ領域をプロセスのアドレス空間にマッピングするために使用されます。これにより、ファイルの内容をメモリとして直接アクセスしたり、プロセス間でメモリを共有したりすることが可能になります。
mmap
の主な引数は以下の通りです。
addr
: マッピングを開始するアドレスのヒント。通常はNULL
を指定し、システムに適切なアドレスを選択させます。len
: マッピングするバイト数。prot
: メモリ領域の保護(パーミッション)フラグ。PROT_READ
: 読み取り可能PROT_WRITE
: 書き込み可能PROT_EXEC
: 実行可能PROT_NONE
: アクセス不可
flags
: マッピングの動作を制御するフラグ。MAP_ANON
(またはMAP_ANONYMOUS
): ファイルではなく匿名メモリ領域をマッピングします。MAP_PRIVATE
: プライベートなコピーオンライトマッピングを作成します。元のファイルや他のプロセスとの変更は共有されません。MAP_SHARED
: 共有マッピングを作成します。元のファイルや他のプロセスとの変更が共有されます。MAP_FIXED
:addr
で指定されたアドレスに厳密にマッピングを試みます。
fd
: マッピングするファイルのファイルディスクリプタ。匿名マッピングの場合は-1
。offset
: ファイル内のマッピング開始オフセット。
2. PROT_EXEC
フラグ
PROT_EXEC
は、mmap
システムコールでメモリ領域に実行権限を与えるための保護フラグです。このフラグが設定されたメモリ領域は、CPUが命令として解釈し、実行することができます。
3. 実行可能なヒープ (Executable Heap)
ヒープは、プログラムが実行時に動的にメモリを確保するために使用される領域です。通常、ヒープはデータ格納のために使用され、実行可能なコードを格納するようには設計されていません。しかし、JITコンパイラや一部の動的コード生成技術では、実行時に生成されたコードをヒープに配置し、それを実行する必要がありました。このようなヒープ領域を「実行可能なヒープ」と呼びます。
4. DEP (Data Execution Prevention) / NX bit (No-Execute bit)
DEP(データ実行防止)またはNX bit(No-Execute bit)は、CPUレベルで実装されたセキュリティ機能です。これは、データ領域としてマークされたメモリページからのコード実行を防止します。これにより、バッファオーバーフローなどの脆弱性を悪用して、攻撃者がデータ領域に注入した悪意のあるコードを実行することを困難にします。現代のほとんどのオペレーティングシステムとCPUは、この機能をサポートし、デフォルトで有効にしています。
技術的詳細
このコミットの技術的な核心は、Goランタイムがメモリを確保する際に使用するmmap
システムコールのprot
引数からPROT_EXEC
フラグを削除した点にあります。
Goランタイムは、ガベージコレクションやスケジューラなどの内部処理のために、独自のメモリ管理メカニズムを持っています。このメモリ管理の一部として、runtime·SysAlloc
(新しいメモリ領域をシステムから割り当てる)やruntime·SysMap
(既存のメモリ領域をプロセスのアドレス空間にマッピングする)といった関数がmmap
システムコールを呼び出しています。
変更前は、これらのmmap
呼び出しにおいて、PROT_READ|PROT_WRITE|PROT_EXEC
というフラグが設定されていました。これは、割り当てられたメモリ領域が読み取り、書き込み、そして実行可能であることを意味します。しかし、前述の通り、現代のUnix系OSではセキュリティ上の理由から、ヒープ領域に実行権限を与えることは推奨されません。
このコミットでは、PROT_EXEC
フラグが削除され、PROT_READ|PROT_WRITE
のみが設定されるようになりました。これにより、Goランタイムが確保するヒープメモリは、デフォルトで実行不可となります。
この変更は、GoランタイムがJITコンパイルや動的なコード生成を必要としない、あるいはそのための特別なメモリ領域を別途確保するようになったことを示唆しています。Go言語のコンパイラは、通常、事前にコンパイルされたバイナリを生成するため、実行時にヒープ上でコードを生成して実行する必要性は低いと考えられます。もし実行時にコードを生成する必要がある場合でも、それは特定の目的のために明示的に実行可能なメモリ領域を確保する形で行われるべきであり、一般的なヒープ領域が実行可能である必要はありません。
この変更は、Goプログラムのセキュリティを向上させるだけでなく、オペレーティングシステムのメモリ保護機能との整合性を高めることにも貢献しています。
コアとなるコードの変更箇所
変更は、Goランタイムのメモリ管理に関連する以下の5つのファイルで行われています。
src/pkg/runtime/mem_darwin.c
(macOS)src/pkg/runtime/mem_freebsd.c
(FreeBSD)src/pkg/runtime/mem_linux.c
(Linux)src/pkg/runtime/mem_netbsd.c
(NetBSD)src/pkg/runtime/mem_openbsd.c
(OpenBSD)
これらのファイルでは、runtime·mmap
関数の呼び出しにおいて、prot
引数からPROT_EXEC
が削除されています。
例: src/pkg/runtime/mem_darwin.c
の変更
--- a/src/pkg/runtime/mem_darwin.c
+++ b/src/pkg/runtime/mem_darwin.c
@@ -14,7 +14,7 @@ runtime·SysAlloc(uintptr n)
void *v;
mstats.sys += n;
- v = runtime·mmap(nil, n, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_ANON|MAP_PRIVATE, -1, 0);
+ v = runtime·mmap(nil, n, PROT_READ|PROT_WRITE, MAP_ANON|MAP_PRIVATE, -1, 0);
if(v < (void*)4096)
return nil;
return v;
@@ -51,7 +51,7 @@ runtime·SysMap(void *v, uintptr n)
void *p;
mstats.sys += n;
- p = runtime·mmap(v, n, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_ANON|MAP_FIXED|MAP_PRIVATE, -1, 0);
+ p = runtime·mmap(v, n, PROT_READ|PROT_WRITE, MAP_ANON|MAP_FIXED|MAP_PRIVATE, -1, 0);
if(p == (void*)-ENOMEM)
runtime·throw("runtime: out of memory");
if(p != v)
同様の変更が他のUnix系OS向けのファイルでも行われています。
コアとなるコードの解説
上記のコードスニペットは、Goランタイムがシステムからメモリを割り当てる際のmmap
システムコールの呼び出しを示しています。
-
runtime·SysAlloc(uintptr n)
: この関数は、指定されたサイズn
の新しいメモリ領域をシステムから割り当てます。- 変更前:
v = runtime·mmap(nil, n, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_ANON|MAP_PRIVATE, -1, 0);
- 変更後:
v = runtime·mmap(nil, n, PROT_READ|PROT_WRITE, MAP_ANON|MAP_PRIVATE, -1, 0);
- ここで、
PROT_EXEC
フラグが削除されています。MAP_ANON
は匿名メモリ(ファイルに関連付けられていないメモリ)を意味し、MAP_PRIVATE
はそのマッピングがプロセスにプライベートであることを意味します。
- 変更前:
-
runtime·SysMap(void *v, uintptr n)
: この関数は、既存のメモリ領域v
を、指定されたサイズn
でプロセスのアドレス空間にマッピングします。これは、Goランタイムが既に確保したメモリ領域を再マッピングする際などに使用されます。- 変更前:
p = runtime·mmap(v, n, PROT_READ|PROT_WRITE|PROT_EXEC, MAP_ANON|MAP_FIXED|MAP_PRIVATE, -1, 0);
- 変更後:
p = runtime·mmap(v, n, PROT_READ|PROT_WRITE, MAP_ANON|MAP_FIXED|MAP_PRIVATE, -1, 0);
- ここでも
PROT_EXEC
フラグが削除されています。MAP_FIXED
は、v
で指定されたアドレスに厳密にマッピングを試みることを意味します。
- 変更前:
これらの変更により、GoランタイムがUnix系システムで確保するメモリ領域は、デフォルトで実行権限を持たなくなりました。これは、データ実行防止(DEP)などのセキュリティメカニズムと整合性が取れており、悪意のあるコードがヒープ領域から実行されるリスクを低減します。
関連リンク
- Go Change List 7405045: https://golang.org/cl/7405045
参考にした情報源リンク
mmap
man page (Linux): https://man7.org/linux/man-pages/man2/mmap.2.html- Data Execution Prevention (DEP) - Wikipedia: https://en.wikipedia.org/wiki/Data_Execution_Prevention
- NX bit - Wikipedia: https://en.wikipedia.org/wiki/NX_bit
- Go言語のメモリ管理に関するドキュメント (Goの公式ドキュメントやブログ記事などを参照)
- Goのメモリ管理は複雑であり、特定のバージョンや変更に関する詳細なドキュメントは、Goの公式ブログや設計ドキュメント、またはソースコードのコメントから得られることが多いです。