render / rpms / edk2

Forked from rpms/edk2 3 months ago
Clone

Blame SOURCES/edk2-NetworkPkg-IScsiDxe-fix-potential-integer-overflow-i.patch

9e1c84
From 4171bd515a2dcfec59513d3a83adce7ed2903d50 Mon Sep 17 00:00:00 2001
d15d15
From: Laszlo Ersek <lersek@redhat.com>
9e1c84
Date: Tue, 8 Jun 2021 14:12:54 +0200
d15d15
Subject: [PATCH 05/10] NetworkPkg/IScsiDxe: fix potential integer overflow in
d15d15
 IScsiBinToHex()
d15d15
MIME-Version: 1.0
d15d15
Content-Type: text/plain; charset=UTF-8
d15d15
Content-Transfer-Encoding: 8bit
d15d15
d15d15
RH-Author: Laszlo Ersek <lersek@redhat.com>
9e1c84
RH-MergeRequest: 5: NetworkPkg/IScsiDxe: fix IScsiHexToBin() security and functionality bugs [rhel-8.5.0, post-rebase]
9e1c84
RH-Commit: [5/10] f52aaaa03b15280eb4a821eeb378d8051ea5ec2a
9e1c84
RH-Bugzilla: 1956408
d15d15
RH-Acked-by: Philippe Mathieu-Daudé <philmd@redhat.com>
d15d15
d15d15
Considering IScsiBinToHex():
d15d15
d15d15
>   if (((*HexLength) - 3) < BinLength * 2) {
d15d15
>     *HexLength = BinLength * 2 + 3;
d15d15
>   }
d15d15
d15d15
the following subexpressions are problematic:
d15d15
d15d15
  (*HexLength) - 3
d15d15
  BinLength * 2
d15d15
  BinLength * 2 + 3
d15d15
d15d15
The first one may wrap under zero, the latter two may wrap over
d15d15
MAX_UINT32.
d15d15
d15d15
Rewrite the calculation using SafeIntLib.
d15d15
d15d15
While at it, change the type of the "Index" variable from UINTN to UINT32.
d15d15
The largest "Index"-based value that we calculate is
d15d15
d15d15
  Index * 2 + 2                                (with (Index == BinLength))
d15d15
d15d15
Because the patch makes
d15d15
d15d15
  BinLength * 2 + 3
d15d15
d15d15
safe to calculate in UINT32, using UINT32 for
d15d15
d15d15
  Index * 2 + 2                                (with (Index == BinLength))
d15d15
d15d15
is safe too. Consistently using UINT32 improves readability.
d15d15
d15d15
This patch is best reviewed with "git show -W".
d15d15
d15d15
The integer overflows that this patch fixes are theoretical; a subsequent
d15d15
patch in the series will audit the IScsiBinToHex() call sites, and show
d15d15
that none of them can fail.
d15d15
d15d15
Cc: Jiaxin Wu <jiaxin.wu@intel.com>
d15d15
Cc: Maciej Rabeda <maciej.rabeda@linux.intel.com>
d15d15
Cc: Philippe Mathieu-Daudé <philmd@redhat.com>
d15d15
Cc: Siyuan Fu <siyuan.fu@intel.com>
d15d15
Ref: https://bugzilla.tianocore.org/show_bug.cgi?id=3356
d15d15
Signed-off-by: Laszlo Ersek <lersek@redhat.com>
d15d15
Reviewed-by: Maciej Rabeda <maciej.rabeda@linux.intel.com>
d15d15
Reviewed-by: Philippe Mathieu-Daudé <philmd@redhat.com>
9e1c84
Message-Id: <20210608121259.32451-6-lersek@redhat.com>
9e1c84
(cherry picked from commit cf01b2dc8fc3ff9cf49fb891af5703dc03e3193e)
d15d15
---
d15d15
 NetworkPkg/IScsiDxe/IScsiDxe.inf |  1 +
d15d15
 NetworkPkg/IScsiDxe/IScsiImpl.h  |  1 +
d15d15
 NetworkPkg/IScsiDxe/IScsiMisc.c  | 19 +++++++++++++++----
d15d15
 NetworkPkg/IScsiDxe/IScsiMisc.h  |  1 +
d15d15
 4 files changed, 18 insertions(+), 4 deletions(-)
d15d15
d15d15
diff --git a/NetworkPkg/IScsiDxe/IScsiDxe.inf b/NetworkPkg/IScsiDxe/IScsiDxe.inf
d15d15
index 543c408302..1dde56d00c 100644
d15d15
--- a/NetworkPkg/IScsiDxe/IScsiDxe.inf
d15d15
+++ b/NetworkPkg/IScsiDxe/IScsiDxe.inf
d15d15
@@ -74,6 +74,7 @@
d15d15
   MemoryAllocationLib
d15d15
   NetLib
d15d15
   PrintLib
d15d15
+  SafeIntLib
d15d15
   TcpIoLib
d15d15
   UefiBootServicesTableLib
d15d15
   UefiDriverEntryPoint
d15d15
diff --git a/NetworkPkg/IScsiDxe/IScsiImpl.h b/NetworkPkg/IScsiDxe/IScsiImpl.h
d15d15
index d895c7feb9..ac3a25730e 100644
d15d15
--- a/NetworkPkg/IScsiDxe/IScsiImpl.h
d15d15
+++ b/NetworkPkg/IScsiDxe/IScsiImpl.h
d15d15
@@ -44,6 +44,7 @@ SPDX-License-Identifier: BSD-2-Clause-Patent
d15d15
 #include <Library/MemoryAllocationLib.h>
d15d15
 #include <Library/NetLib.h>
d15d15
 #include <Library/PrintLib.h>
d15d15
+#include <Library/SafeIntLib.h>
d15d15
 #include <Library/TcpIoLib.h>
d15d15
 #include <Library/UefiBootServicesTableLib.h>
d15d15
 #include <Library/UefiHiiServicesLib.h>
d15d15
diff --git a/NetworkPkg/IScsiDxe/IScsiMisc.c b/NetworkPkg/IScsiDxe/IScsiMisc.c
d15d15
index b8fef3ff6f..42988e15cb 100644
d15d15
--- a/NetworkPkg/IScsiDxe/IScsiMisc.c
d15d15
+++ b/NetworkPkg/IScsiDxe/IScsiMisc.c
d15d15
@@ -316,6 +316,7 @@ IScsiMacAddrToStr (
d15d15
   @retval EFI_SUCCESS          The binary data is converted to the hexadecimal string
d15d15
                                and the length of the string is updated.
d15d15
   @retval EFI_BUFFER_TOO_SMALL The string is too small.
d15d15
+  @retval EFI_BAD_BUFFER_SIZE  BinLength is too large for hex encoding.
d15d15
   @retval EFI_INVALID_PARAMETER The IP string is malformatted.
d15d15
 
d15d15
 **/
d15d15
@@ -327,18 +328,28 @@ IScsiBinToHex (
d15d15
   IN OUT UINT32 *HexLength
d15d15
   )
d15d15
 {
d15d15
-  UINTN Index;
d15d15
+  UINT32 HexLengthMin;
d15d15
+  UINT32 HexLengthProvided;
d15d15
+  UINT32 Index;
d15d15
 
d15d15
   if ((HexStr == NULL) || (BinBuffer == NULL) || (BinLength == 0)) {
d15d15
     return EFI_INVALID_PARAMETER;
d15d15
   }
d15d15
 
d15d15
-  if (((*HexLength) - 3) < BinLength * 2) {
d15d15
-    *HexLength = BinLength * 2 + 3;
d15d15
+  //
d15d15
+  // Safely calculate: HexLengthMin := BinLength * 2 + 3.
d15d15
+  //
d15d15
+  if (RETURN_ERROR (SafeUint32Mult (BinLength, 2, &HexLengthMin)) ||
d15d15
+      RETURN_ERROR (SafeUint32Add (HexLengthMin, 3, &HexLengthMin))) {
d15d15
+    return EFI_BAD_BUFFER_SIZE;
d15d15
+  }
d15d15
+
d15d15
+  HexLengthProvided = *HexLength;
d15d15
+  *HexLength = HexLengthMin;
d15d15
+  if (HexLengthProvided < HexLengthMin) {
d15d15
     return EFI_BUFFER_TOO_SMALL;
d15d15
   }
d15d15
 
d15d15
-  *HexLength = BinLength * 2 + 3;
d15d15
   //
d15d15
   // Prefix for Hex String.
d15d15
   //
d15d15
diff --git a/NetworkPkg/IScsiDxe/IScsiMisc.h b/NetworkPkg/IScsiDxe/IScsiMisc.h
d15d15
index 46c725aab3..231413993b 100644
d15d15
--- a/NetworkPkg/IScsiDxe/IScsiMisc.h
d15d15
+++ b/NetworkPkg/IScsiDxe/IScsiMisc.h
d15d15
@@ -150,6 +150,7 @@ IScsiAsciiStrToIp (
d15d15
   @retval EFI_SUCCESS          The binary data is converted to the hexadecimal string
d15d15
                                and the length of the string is updated.
d15d15
   @retval EFI_BUFFER_TOO_SMALL The string is too small.
d15d15
+  @retval EFI_BAD_BUFFER_SIZE  BinLength is too large for hex encoding.
d15d15
   @retval EFI_INVALID_PARAMETER The IP string is malformatted.
d15d15
 
d15d15
 **/
d15d15
-- 
d15d15
2.27.0
d15d15