cap: fix format-string vulnerability
[akaros.git] / kern / drivers / dev / capability.c
1 /*
2  * This file is part of the UCB release of Plan 9. It is subject to the license
3  * terms in the LICENSE file found in the top-level directory of this
4  * distribution and at http://akaros.cs.berkeley.edu/files/Plan9License. No
5  * part of the UCB release of Plan 9, including this file, may be copied,
6  * modified, propagated, or distributed except according to the terms contained
7  * in the LICENSE file.
8  */
9
10 #include <slab.h>
11 #include <kmalloc.h>
12 #include <kref.h>
13 #include <string.h>
14 #include <stdio.h>
15 #include <assert.h>
16 #include <error.h>
17 #include <cpio.h>
18 #include <pmap.h>
19 #include <smp.h>
20 #include <net/ip.h>
21
22 #include <crypto/2crypto.h>
23 #include <crypto/2hmac.h>
24 #include <crypto/2id.h>
25 #include <crypto/2sha.h>
26
27 #include <ctype.h>
28
29 enum {
30         Hashlen = VB2_MAX_DIGEST_SIZE * 2,
31         Maxhash = 256,
32 };
33
34 /*
35  *  if a process knows cap->cap, it can change user
36  *  to capabilty->user.
37  */
38 struct Caphash {
39         struct Caphash *next;
40         char hash[Hashlen + 1];
41 };
42
43 struct {
44         qlock_t qlock;
45         struct Caphash *first;
46         int nhash;
47 } capalloc;
48
49 enum {
50         Qdir,
51         Qhash,
52         Quse,
53 };
54
55 /* caphash must be last */
56 struct dirtab capdir[] = {
57         {".",       {Qdir, 0, QTDIR}, 0, DMDIR | 0500},
58         {"capuse",  {Quse},           0, 0222,},
59         {"caphash", {Qhash},          0, 0200,},
60 };
61 int ncapdir = ARRAY_SIZE(capdir);
62
63 static void capinit(void)
64 {
65         qlock_init(&capalloc.qlock);
66 }
67
68 static struct chan *capattach(char *spec)
69 {
70         return devattach("capability", spec);
71 }
72
73 static struct walkqid *capwalk(struct chan *c, struct chan *nc, char **name,
74                                unsigned int nname)
75 {
76         return devwalk(c, nc, name, nname, capdir, ncapdir, devgen);
77 }
78
79 static void capremove(struct chan *c)
80 {
81         if (iseve() && c->qid.path == Qhash)
82                 ncapdir = ARRAY_SIZE(capdir) - 1;
83         else
84                 error(EPERM, "Permission denied");
85 }
86
87 static size_t capstat(struct chan *c, uint8_t *db, size_t n)
88 {
89         return devstat(c, db, n, capdir, ncapdir, devgen);
90 }
91
92 /*
93  *  if the stream doesn't exist, create it
94  */
95 static struct chan *capopen(struct chan *c, int omode)
96 {
97         if (c->qid.type & QTDIR) {
98                 if (openmode(omode) != O_READ)
99                         error(EISDIR, "Can only read a directory");
100                 c->mode = openmode(omode);
101                 c->flag |= COPEN;
102                 c->offset = 0;
103                 return c;
104         }
105
106         switch ((uint32_t)c->qid.path) {
107         case Qhash:
108                 if (!iseve())
109                         error(EPERM,
110                               "Permission denied: only eve can open Qhash");
111                 break;
112         }
113
114         c->mode = openmode(omode);
115         c->flag |= COPEN;
116         c->offset = 0;
117         return c;
118 }
119
120 static size_t __hashstr(char *buf, uint8_t *hash, size_t bytes_to_split)
121 {
122         int i;
123
124         for (i = 0; i < bytes_to_split; i++)
125                 snprintf(buf + 2 * i, 3, "%02x", hash[i]);
126
127         return bytes_to_split;
128 }
129
130 static struct Caphash *remcap(uint8_t *hash)
131 {
132         struct Caphash *t, **l;
133
134         qlock(&capalloc.qlock);
135
136         /* find the matching capability */
137         for (l = &capalloc.first; *l != NULL;) {
138                 t = *l;
139                 if (memcmp(hash, t->hash, Hashlen) == 0)
140                         break;
141                 l = &t->next;
142         }
143         t = *l;
144         if (t != NULL) {
145                 capalloc.nhash--;
146                 *l = t->next;
147         }
148         qunlock(&capalloc.qlock);
149
150         return t;
151 }
152
153 /* add a capability, throwing out any old ones */
154 static void addcap(uint8_t *hash)
155 {
156         struct Caphash *p, *t, **l;
157
158         p = kzmalloc(sizeof(*p), 0);
159         memmove(p->hash, hash, Hashlen);
160         p->next = NULL;
161
162         qlock(&capalloc.qlock);
163
164         /* trim extras */
165         while (capalloc.nhash >= Maxhash) {
166                 t = capalloc.first;
167                 if (t == NULL)
168                         panic("addcap");
169                 capalloc.first = t->next;
170                 kfree(t);
171                 capalloc.nhash--;
172         }
173
174         /* add new one */
175         for (l = &capalloc.first; *l != NULL; l = &(*l)->next)
176                 ;
177         *l = p;
178         capalloc.nhash++;
179
180         qunlock(&capalloc.qlock);
181 }
182
183 static void capclose(struct chan *c)
184 {
185 }
186
187 static size_t capread(struct chan *c, void *va, size_t n, off64_t m)
188 {
189         switch ((uint32_t)c->qid.path) {
190         case Qdir:
191                 return devdirread(c, va, n, capdir, ncapdir, devgen);
192
193         default:
194                 error(EPERM, "Permission denied: can't read capability files");
195                 break;
196         }
197         return n;
198 }
199
200 static size_t capwrite(struct chan *c, void *va, size_t n, off64_t m)
201 {
202         struct Caphash *p;
203         char *cp;
204         uint8_t hash[Hashlen + 1] = {0};
205         char *hashstr = NULL;
206         char *key, *from, *to;
207         int ret;
208         ERRSTACK(1);
209
210         switch ((uint32_t)c->qid.path) {
211         case Qhash:
212                 if (!iseve())
213                         error(EPERM, "permission denied: you must be eve");
214                 if (n < VB2_SHA256_DIGEST_SIZE * 2)
215                         error(EIO, "Short read: on Qhash");
216                 memmove(hash, va, Hashlen);
217                 for (int i = 0; i < Hashlen; i++)
218                         hash[i] = tolower(hash[i]);
219                 addcap(hash);
220                 break;
221
222         case Quse:
223                 /* copy key to avoid a fault in hmac_xx and so we can enforce
224                  * null termination. */
225                 cp = NULL;
226                 if (waserror()) {
227                         kfree(cp);
228                         kfree(hashstr);
229                         nexterror();
230                 }
231                 cp = kzmalloc(n + 1, 0);
232                 memmove(cp, va, n);
233                 cp[n] = 0;
234
235                 from = cp;
236                 key = strrchr(cp, '@');
237                 if (key == NULL)
238                         error(EIO, "short read: Quse");
239                 *key++ = 0;
240
241                 ret = hmac(VB2_HASH_SHA256, key, strlen(key),
242                            from, strlen(from), hash, Hashlen);
243                 if (ret)
244                         error(EINVAL, "HMAC failed");
245
246                 // Convert to ASCII text
247                 hashstr = (char *)kzmalloc(sizeof(hash), MEM_WAIT);
248                 ret = __hashstr(hashstr, hash, VB2_SHA256_DIGEST_SIZE);
249                 if (ret != VB2_SHA256_DIGEST_SIZE)
250                         error(EINVAL, "hash is wrong length");
251
252                 p = remcap((uint8_t *)hashstr);
253                 if (p == NULL)
254                         error(EINVAL, "invalid capability %s@%s", from, key);
255
256                 kfree(hashstr);
257                 hashstr = NULL;
258
259                 /* if a from user is supplied, make sure it matches */
260                 to = strchr(from, '@');
261                 if (to == NULL) {
262                         to = from;
263                 } else {
264                         *to++ = 0;
265                         if (strcmp(from, current->user.name) != 0)
266                                 error(EINVAL, "capability must match user");
267                 }
268
269                 /* set user id */
270                 // In the original user names were NULL-terminated; ensure
271                 // that is still the case.
272                 if (strlen(to) > sizeof(current->user.name) - 1)
273                         error(EINVAL, "New user name is > %d bytes",
274                               sizeof(current->user.name) - 1);
275                 proc_set_username(current, to);
276                 //up->basepri = PriNormal;
277
278                 kfree(p);
279                 kfree(cp);
280                 poperror();
281                 break;
282
283         default:
284                 error(EPERM, "permission denied: capwrite");
285                 break;
286         }
287
288         return n;
289 }
290
291 struct dev capdevtab __devtab = {
292         .name = "capability",
293
294         .reset = devreset,
295         .init = capinit,
296         .shutdown = devshutdown,
297         .attach = capattach,
298         .walk = capwalk,
299         .stat = capstat,
300         .open = capopen,
301         .create = devcreate,
302         .close = capclose,
303         .read = capread,
304         .bread = devbread,
305         .write = capwrite,
306         .bwrite = devbwrite,
307         .remove = capremove,
308         .wstat = devwstat,
309 };