|
 |
d15d15 |
From ae16157ee5c96e36e5d1ec558f875e6b89188770 Mon Sep 17 00:00:00 2001
|
|
|
d15d15 |
From: Laszlo Ersek <lersek@redhat.com>
|
|
|
d15d15 |
Date: Tue, 27 Apr 2021 10:10:42 +0200
|
|
|
d15d15 |
Subject: [PATCH 05/10] NetworkPkg/IScsiDxe: fix potential integer overflow in
|
|
|
d15d15 |
IScsiBinToHex()
|
|
|
d15d15 |
MIME-Version: 1.0
|
|
|
d15d15 |
Content-Type: text/plain; charset=UTF-8
|
|
|
d15d15 |
Content-Transfer-Encoding: 8bit
|
|
|
d15d15 |
|
|
|
d15d15 |
RH-Author: Laszlo Ersek <lersek@redhat.com>
|
|
|
d15d15 |
RH-MergeRequest: 3: NetworkPkg/IScsiDxe: fix IScsiHexToBin() security and functionality bugs [rhel-8.4.0.z]
|
|
|
d15d15 |
RH-Commit: [5/10] 96bbb794ca2355c2d9e83d79d385582daf8e4aa4
|
|
|
d15d15 |
RH-Bugzilla: 1956676
|
|
|
d15d15 |
RH-Acked-by: Philippe Mathieu-Daudé <philmd@redhat.com>
|
|
|
d15d15 |
|
|
|
d15d15 |
Considering IScsiBinToHex():
|
|
|
d15d15 |
|
|
|
d15d15 |
> if (((*HexLength) - 3) < BinLength * 2) {
|
|
|
d15d15 |
> *HexLength = BinLength * 2 + 3;
|
|
|
d15d15 |
> }
|
|
|
d15d15 |
|
|
|
d15d15 |
the following subexpressions are problematic:
|
|
|
d15d15 |
|
|
|
d15d15 |
(*HexLength) - 3
|
|
|
d15d15 |
BinLength * 2
|
|
|
d15d15 |
BinLength * 2 + 3
|
|
|
d15d15 |
|
|
|
d15d15 |
The first one may wrap under zero, the latter two may wrap over
|
|
|
d15d15 |
MAX_UINT32.
|
|
|
d15d15 |
|
|
|
d15d15 |
Rewrite the calculation using SafeIntLib.
|
|
|
d15d15 |
|
|
|
d15d15 |
While at it, change the type of the "Index" variable from UINTN to UINT32.
|
|
|
d15d15 |
The largest "Index"-based value that we calculate is
|
|
|
d15d15 |
|
|
|
d15d15 |
Index * 2 + 2 (with (Index == BinLength))
|
|
|
d15d15 |
|
|
|
d15d15 |
Because the patch makes
|
|
|
d15d15 |
|
|
|
d15d15 |
BinLength * 2 + 3
|
|
|
d15d15 |
|
|
|
d15d15 |
safe to calculate in UINT32, using UINT32 for
|
|
|
d15d15 |
|
|
|
d15d15 |
Index * 2 + 2 (with (Index == BinLength))
|
|
|
d15d15 |
|
|
|
d15d15 |
is safe too. Consistently using UINT32 improves readability.
|
|
|
d15d15 |
|
|
|
d15d15 |
This patch is best reviewed with "git show -W".
|
|
|
d15d15 |
|
|
|
d15d15 |
The integer overflows that this patch fixes are theoretical; a subsequent
|
|
|
d15d15 |
patch in the series will audit the IScsiBinToHex() call sites, and show
|
|
|
d15d15 |
that none of them can fail.
|
|
|
d15d15 |
|
|
|
d15d15 |
Cc: Jiaxin Wu <jiaxin.wu@intel.com>
|
|
|
d15d15 |
Cc: Maciej Rabeda <maciej.rabeda@linux.intel.com>
|
|
|
d15d15 |
Cc: Philippe Mathieu-Daudé <philmd@redhat.com>
|
|
|
d15d15 |
Cc: Siyuan Fu <siyuan.fu@intel.com>
|
|
|
d15d15 |
Ref: https://bugzilla.tianocore.org/show_bug.cgi?id=3356
|
|
|
d15d15 |
Signed-off-by: Laszlo Ersek <lersek@redhat.com>
|
|
|
d15d15 |
Reviewed-by: Maciej Rabeda <maciej.rabeda@linux.intel.com>
|
|
|
d15d15 |
Reviewed-by: Philippe Mathieu-Daudé <philmd@redhat.com>
|
|
|
d15d15 |
Upstream: https://bugzilla.tianocore.org/show_bug.cgi?id=3356, c#17...c#22
|
|
|
d15d15 |
---
|
|
|
d15d15 |
NetworkPkg/IScsiDxe/IScsiDxe.inf | 1 +
|
|
|
d15d15 |
NetworkPkg/IScsiDxe/IScsiImpl.h | 1 +
|
|
|
d15d15 |
NetworkPkg/IScsiDxe/IScsiMisc.c | 19 +++++++++++++++----
|
|
|
d15d15 |
NetworkPkg/IScsiDxe/IScsiMisc.h | 1 +
|
|
|
d15d15 |
4 files changed, 18 insertions(+), 4 deletions(-)
|
|
|
d15d15 |
|
|
|
d15d15 |
diff --git a/NetworkPkg/IScsiDxe/IScsiDxe.inf b/NetworkPkg/IScsiDxe/IScsiDxe.inf
|
|
|
d15d15 |
index 543c408302..1dde56d00c 100644
|
|
|
d15d15 |
--- a/NetworkPkg/IScsiDxe/IScsiDxe.inf
|
|
|
d15d15 |
+++ b/NetworkPkg/IScsiDxe/IScsiDxe.inf
|
|
|
d15d15 |
@@ -74,6 +74,7 @@
|
|
|
d15d15 |
MemoryAllocationLib
|
|
|
d15d15 |
NetLib
|
|
|
d15d15 |
PrintLib
|
|
|
d15d15 |
+ SafeIntLib
|
|
|
d15d15 |
TcpIoLib
|
|
|
d15d15 |
UefiBootServicesTableLib
|
|
|
d15d15 |
UefiDriverEntryPoint
|
|
|
d15d15 |
diff --git a/NetworkPkg/IScsiDxe/IScsiImpl.h b/NetworkPkg/IScsiDxe/IScsiImpl.h
|
|
|
d15d15 |
index d895c7feb9..ac3a25730e 100644
|
|
|
d15d15 |
--- a/NetworkPkg/IScsiDxe/IScsiImpl.h
|
|
|
d15d15 |
+++ b/NetworkPkg/IScsiDxe/IScsiImpl.h
|
|
|
d15d15 |
@@ -44,6 +44,7 @@ SPDX-License-Identifier: BSD-2-Clause-Patent
|
|
|
d15d15 |
#include <Library/MemoryAllocationLib.h>
|
|
|
d15d15 |
#include <Library/NetLib.h>
|
|
|
d15d15 |
#include <Library/PrintLib.h>
|
|
|
d15d15 |
+#include <Library/SafeIntLib.h>
|
|
|
d15d15 |
#include <Library/TcpIoLib.h>
|
|
|
d15d15 |
#include <Library/UefiBootServicesTableLib.h>
|
|
|
d15d15 |
#include <Library/UefiHiiServicesLib.h>
|
|
|
d15d15 |
diff --git a/NetworkPkg/IScsiDxe/IScsiMisc.c b/NetworkPkg/IScsiDxe/IScsiMisc.c
|
|
|
d15d15 |
index b8fef3ff6f..42988e15cb 100644
|
|
|
d15d15 |
--- a/NetworkPkg/IScsiDxe/IScsiMisc.c
|
|
|
d15d15 |
+++ b/NetworkPkg/IScsiDxe/IScsiMisc.c
|
|
|
d15d15 |
@@ -316,6 +316,7 @@ IScsiMacAddrToStr (
|
|
|
d15d15 |
@retval EFI_SUCCESS The binary data is converted to the hexadecimal string
|
|
|
d15d15 |
and the length of the string is updated.
|
|
|
d15d15 |
@retval EFI_BUFFER_TOO_SMALL The string is too small.
|
|
|
d15d15 |
+ @retval EFI_BAD_BUFFER_SIZE BinLength is too large for hex encoding.
|
|
|
d15d15 |
@retval EFI_INVALID_PARAMETER The IP string is malformatted.
|
|
|
d15d15 |
|
|
|
d15d15 |
**/
|
|
|
d15d15 |
@@ -327,18 +328,28 @@ IScsiBinToHex (
|
|
|
d15d15 |
IN OUT UINT32 *HexLength
|
|
|
d15d15 |
)
|
|
|
d15d15 |
{
|
|
|
d15d15 |
- UINTN Index;
|
|
|
d15d15 |
+ UINT32 HexLengthMin;
|
|
|
d15d15 |
+ UINT32 HexLengthProvided;
|
|
|
d15d15 |
+ UINT32 Index;
|
|
|
d15d15 |
|
|
|
d15d15 |
if ((HexStr == NULL) || (BinBuffer == NULL) || (BinLength == 0)) {
|
|
|
d15d15 |
return EFI_INVALID_PARAMETER;
|
|
|
d15d15 |
}
|
|
|
d15d15 |
|
|
|
d15d15 |
- if (((*HexLength) - 3) < BinLength * 2) {
|
|
|
d15d15 |
- *HexLength = BinLength * 2 + 3;
|
|
|
d15d15 |
+ //
|
|
|
d15d15 |
+ // Safely calculate: HexLengthMin := BinLength * 2 + 3.
|
|
|
d15d15 |
+ //
|
|
|
d15d15 |
+ if (RETURN_ERROR (SafeUint32Mult (BinLength, 2, &HexLengthMin)) ||
|
|
|
d15d15 |
+ RETURN_ERROR (SafeUint32Add (HexLengthMin, 3, &HexLengthMin))) {
|
|
|
d15d15 |
+ return EFI_BAD_BUFFER_SIZE;
|
|
|
d15d15 |
+ }
|
|
|
d15d15 |
+
|
|
|
d15d15 |
+ HexLengthProvided = *HexLength;
|
|
|
d15d15 |
+ *HexLength = HexLengthMin;
|
|
|
d15d15 |
+ if (HexLengthProvided < HexLengthMin) {
|
|
|
d15d15 |
return EFI_BUFFER_TOO_SMALL;
|
|
|
d15d15 |
}
|
|
|
d15d15 |
|
|
|
d15d15 |
- *HexLength = BinLength * 2 + 3;
|
|
|
d15d15 |
//
|
|
|
d15d15 |
// Prefix for Hex String.
|
|
|
d15d15 |
//
|
|
|
d15d15 |
diff --git a/NetworkPkg/IScsiDxe/IScsiMisc.h b/NetworkPkg/IScsiDxe/IScsiMisc.h
|
|
|
d15d15 |
index 46c725aab3..231413993b 100644
|
|
|
d15d15 |
--- a/NetworkPkg/IScsiDxe/IScsiMisc.h
|
|
|
d15d15 |
+++ b/NetworkPkg/IScsiDxe/IScsiMisc.h
|
|
|
d15d15 |
@@ -150,6 +150,7 @@ IScsiAsciiStrToIp (
|
|
|
d15d15 |
@retval EFI_SUCCESS The binary data is converted to the hexadecimal string
|
|
|
d15d15 |
and the length of the string is updated.
|
|
|
d15d15 |
@retval EFI_BUFFER_TOO_SMALL The string is too small.
|
|
|
d15d15 |
+ @retval EFI_BAD_BUFFER_SIZE BinLength is too large for hex encoding.
|
|
|
d15d15 |
@retval EFI_INVALID_PARAMETER The IP string is malformatted.
|
|
|
d15d15 |
|
|
|
d15d15 |
**/
|
|
|
d15d15 |
--
|
|
|
d15d15 |
2.27.0
|
|
|
d15d15 |
|