Sanitize vcoreid from untrusted sources
[akaros.git] / kern / src / umem.c
index 87f4e3a..5863ffe 100644 (file)
@@ -7,6 +7,7 @@
  * to involve some form of pinning (TODO), and that global static needs to go. */
 
 #include <ros/common.h>
+#include <arch/uaccess.h>
 #include <umem.h>
 #include <process.h>
 #include <error.h>
 #include <pmap.h>
 #include <smp.h>
 
-/**
- * @brief Copies data from a user buffer to a kernel buffer.
- * 
- * @param p    the process associated with the user program
- *             from which the buffer is being copied
- * @param dest the destination address of the kernel buffer
- * @param va   the address of the userspace buffer from which we are copying
- * @param len  the length of the userspace buffer
- *
- * @return ESUCCESS on success
- * @return -EFAULT  the page assocaited with 'va' is not present, the user 
- *                  lacks the proper permissions, or there was an invalid 'va'
- */
-int memcpy_from_user(struct proc *p, void *dest, const void *va,
-                     size_t len)
-{
-       const void *start, *end;
-       size_t num_pages, i;
-       pte_t pte;
-       uintptr_t perm = PTE_USER_RO;
-       size_t bytes_copied = 0;
-
-       static_assert(ULIM % PGSIZE == 0 && ULIM != 0); // prevent wrap-around
-
-       start = (void*)ROUNDDOWN((uintptr_t)va, PGSIZE);
-       end = (void*)ROUNDUP((uintptr_t)va + len, PGSIZE);
-
-       if (start >= (void*)ULIM || end > (void*)ULIM)
-               return -EFAULT;
-
-       num_pages = LA2PPN(end - start);
-       for (i = 0; i < num_pages; i++) {
-               pte = pgdir_walk(p->env_pgdir, start + i * PGSIZE, 0);
-               if (!pte_walk_okay(pte))
-                       return -EFAULT;
-               if (pte_is_present(pte) && !pte_has_perm_ur(pte))
+static int string_copy_from_user(char *dst, const char *src)
+{
+       int error;
+       const char *top = src + valid_user_rbytes_from(src);
+
+       for (;; dst++, src++) {
+               if (unlikely(src >= top))
                        return -EFAULT;
-               if (!pte_is_present(pte))
-                       if (handle_page_fault(p, (uintptr_t)start + i * PGSIZE, PROT_READ))
-                               return -EFAULT;
-
-               void *kpage = KADDR(pte_get_paddr(pte));
-               const void *src_start = i > 0 ? kpage : kpage + (va - start);
-               void *dst_start = dest + bytes_copied;
-               size_t copy_len = PGSIZE;
-               if (i == 0)
-                       copy_len -= va - start;
-               if (i == num_pages-1)
-                       copy_len -= end - (va + len);
-
-               memcpy(dst_start, src_start, copy_len);
-               bytes_copied += copy_len;
+               error = __get_user(dst, src, 1);
+               if (unlikely(error))
+                       return error;
+               if (unlikely(!*dst))
+                       break;
        }
-       assert(bytes_copied == len);
+
        return 0;
 }
 
-/* Same as above, but sets errno */
-int memcpy_from_user_errno(struct proc *p, void *dst, const void *src, int len)
+static int string_copy_to_user(char *dst, const char *src)
 {
-       if (memcpy_from_user(p, dst, src, len)) {
-               set_errno(EINVAL);
-               return -1;
-       }
-       return 0;
-}
+       int error;
+       char *top = dst + valid_user_rwbytes_from(dst);
 
-/**
- * @brief Copies data to a user buffer from a kernel buffer.
- * 
- * @param p    the process associated with the user program
- *             to which the buffer is being copied
- * @param dest the destination address of the user buffer
- * @param va   the address of the kernel buffer from which we are copying
- * @param len  the length of the user buffer
- *
- * @return ESUCCESS on success
- * @return -EFAULT  the page assocaited with 'va' is not present, the user 
- *                  lacks the proper permissions, or there was an invalid 'va'
- */
-int memcpy_to_user(struct proc *p, void *va, const void *src, size_t len)
-{
-       const void *start, *end;
-       size_t num_pages, i;
-       pte_t pte;
-       uintptr_t perm = PTE_USER_RW;
-       size_t bytes_copied = 0;
-
-       static_assert(ULIM % PGSIZE == 0 && ULIM != 0); // prevent wrap-around
-
-       start = (void*)ROUNDDOWN((uintptr_t)va, PGSIZE);
-       end = (void*)ROUNDUP((uintptr_t)va + len, PGSIZE);
-
-       if (start >= (void*)ULIM || end > (void*)ULIM)
-               return -EFAULT;
-
-       num_pages = LA2PPN(end - start);
-       for (i = 0; i < num_pages; i++) {
-               pte = pgdir_walk(p->env_pgdir, start + i * PGSIZE, 0);
-               if (!pte_walk_okay(pte))
-                       return -EFAULT;
-               if (pte_is_present(pte) && !pte_has_perm_urw(pte))
+       for (;; dst++, src++) {
+               if (unlikely(dst >= top))
                        return -EFAULT;
-               if (!pte_is_present(pte))
-                       if (handle_page_fault(p, (uintptr_t)start + i * PGSIZE, PROT_WRITE))
-                               return -EFAULT;
-               void *kpage = KADDR(pte_get_paddr(pte));
-               void *dst_start = i > 0 ? kpage : kpage + (va - start);
-               const void *src_start = src + bytes_copied;
-               size_t copy_len = PGSIZE;
-               if (i == 0)
-                       copy_len -= va - start;
-               if (i == num_pages - 1)
-                       copy_len -= end - (va + len);
-               memcpy(dst_start, src_start, copy_len);
-               bytes_copied += copy_len;
+               error = __put_user(dst, src, 1);
+               if (unlikely(error))
+                       return error;
+               if (unlikely(!*src))
+                       break;
        }
-       assert(bytes_copied == len);
+
        return 0;
 }
 
+int strcpy_from_user(struct proc *p, char *dst, const char *src)
+{
+       uintptr_t prev = switch_to(p);
+       int error = string_copy_from_user(dst, src);
+
+       switch_back(p, prev);
+
+       return error;
+}
+
+int strcpy_to_user(struct proc *p, char *dst, const char *src)
+{
+       uintptr_t prev = switch_to(p);
+       int error = string_copy_to_user(dst, src);
+
+       switch_back(p, prev);
+
+       return error;
+}
+
+int memcpy_from_user(struct proc *p, void *dest, const void *va, size_t len)
+{
+       uintptr_t prev = switch_to(p);
+       int error = copy_from_user(dest, va, len);
+
+       switch_back(p, prev);
+
+       return error;
+}
+
+int memcpy_to_user(struct proc *p, void *dest, const void *src, size_t len)
+{
+       uintptr_t prev = switch_to(p);
+       int error = copy_to_user(dest, src, len);
+
+       switch_back(p, prev);
+
+       return error;
+}
+
+/* Same as above, but sets errno */
+int memcpy_from_user_errno(struct proc *p, void *dst, const void *src, int len)
+{
+       int error = memcpy_from_user(p, dst, src, len);
+
+       if (unlikely(error < 0))
+               set_errno(-error);
+
+       return error;
+}
+
 /* Same as above, but sets errno */
 int memcpy_to_user_errno(struct proc *p, void *dst, const void *src, int len)
 {
-       if (memcpy_to_user(p, dst, src, len)) {
-               set_errno(EFAULT);
-               return -1;
-       }
-       return 0;
+       int error = memcpy_to_user(p, dst, src, len);
+
+       if (unlikely(error < 0))
+               set_errno(-error);
+
+       return error;
+}
+
+/* Helpers for FSs that don't care if they copy to the user or the kernel.
+ *
+ * TODO: (KFOP) Probably shouldn't do this.  Either memcpy directly, or split
+ * out the is_user_r(w)addr from copy_{to,from}_user().  Or throw from the fault
+ * handler.  Right now, we ignore the ret/errors completely. */
+int memcpy_to_safe(void *dst, const void *src, size_t amt)
+{
+       int error = 0;
+
+       if (!is_ktask(per_cpu_info[core_id()].cur_kthread))
+               error = memcpy_to_user(current, dst, src, amt);
+       else
+               memcpy(dst, src, amt);
+       return error;
+}
+
+int memcpy_from_safe(void *dst, const void *src, size_t amt)
+{
+       int error = 0;
+
+       if (!is_ktask(per_cpu_info[core_id()].cur_kthread))
+               error = memcpy_from_user(current, dst, src, amt);
+       else
+               memcpy(dst, src, amt);
+       return error;
 }
 
 /* Creates a buffer (kmalloc) and safely copies into it from va.  Can return an
@@ -152,6 +147,7 @@ int memcpy_to_user_errno(struct proc *p, void *dst, const void *src, int len)
 void *user_memdup(struct proc *p, const void *va, int len)
 {
        void* kva = NULL;
+
        if (len < 0 || (kva = kmalloc(len, 0)) == NULL)
                return ERR_PTR(-ENOMEM);
        if (memcpy_from_user(p, kva, va, len)) {
@@ -164,6 +160,7 @@ void *user_memdup(struct proc *p, const void *va, int len)
 void *user_memdup_errno(struct proc *p, const void *va, int len)
 {
        void *kva = user_memdup(p, va, len);
+
        if (IS_ERR(kva)) {
                set_errno(-PTR_ERR(kva));
                return NULL;
@@ -184,6 +181,7 @@ void user_memdup_free(struct proc *p, void *va)
 char *user_strdup(struct proc *p, const char *u_string, size_t strlen)
 {
        char *k_string = user_memdup(p, u_string, strlen + 1);
+
        if (!IS_ERR(k_string))
                k_string[strlen] = '\0';
        return k_string;
@@ -203,6 +201,7 @@ char *user_strdup_errno(struct proc *p, const char *u_string, size_t strlen)
 void *kmalloc_errno(int len)
 {
        void *kva = NULL;
+
        if (len < 0 || (kva = kmalloc(len, 0)) == NULL)
                set_errno(ENOMEM);
        return kva;
@@ -215,6 +214,7 @@ bool uva_is_kva(struct proc *p, void *uva, void *kva)
 {
        struct page *u_page;
        assert(kva);                            /* catch bugs */
+
        /* Check offsets first */
        if (PGOFF(uva) != PGOFF(kva))
                return FALSE;
@@ -226,17 +226,49 @@ bool uva_is_kva(struct proc *p, void *uva, void *kva)
 }
 
 /* Given a proc and a user virtual address, gives us the KVA.  Useful for
- * debugging.  Returns 0 if the page is unmapped (page lookup fails).  If you
- * give it a kva, it'll give you that same KVA, but this doesn't play nice with
- * Jumbo pages. */
-uintptr_t uva2kva(struct proc *p, void *uva)
+ * debugging.  Returns 0 if the page is unmapped (page lookup fails).  This
+ * doesn't play nice with Jumbo pages. */
+uintptr_t uva2kva(struct proc *p, void *uva, size_t len, int prot)
 {
        struct page *u_page;
        uintptr_t offset = PGOFF(uva);
+
        if (!p)
                return 0;
+       if (prot & PROT_WRITE) {
+               if (!is_user_rwaddr(uva, len))
+                       return 0;
+       } else {
+               if (!is_user_raddr(uva, len))
+                       return 0;
+       }
        u_page = page_lookup(p->env_pgdir, uva, 0);
        if (!u_page)
                return 0;
        return (uintptr_t)page2kva(u_page) + offset;
 }
+
+/* Helper, copies a pathname from the process into the kernel.  Returns a string
+ * on success, which you must free with free_path.  Returns 0 on failure and
+ * sets errno. */
+char *copy_in_path(struct proc *p, const char *path, size_t path_l)
+{
+       struct per_cpu_info *pcpui = &per_cpu_info[core_id()];
+       char *t_path;
+
+       /* PATH_MAX includes the \0 */
+       if (path_l > PATH_MAX) {
+               set_errno(ENAMETOOLONG);
+               return 0;
+       }
+       t_path = user_strdup_errno(p, path, path_l);
+       if (!t_path)
+               return 0;
+       return t_path;
+}
+
+/* Helper, frees a path that was allocated with copy_in_path. */
+void free_path(struct proc *p, char *t_path)
+{
+       user_memdup_free(p, t_path);
+}