int                             inuse;
 };
 
+static struct io_buffer_list *__io_buffer_get_list(struct io_ring_ctx *ctx,
+                                                  struct io_buffer_list *bl,
+                                                  unsigned int bgid)
+{
+       if (bl && bgid < BGID_ARRAY)
+               return &bl[bgid];
+
+       return xa_load(&ctx->io_bl_xa, bgid);
+}
+
 static inline struct io_buffer_list *io_buffer_get_list(struct io_ring_ctx *ctx,
                                                        unsigned int bgid)
 {
-       if (ctx->io_bl && bgid < BGID_ARRAY)
-               return &ctx->io_bl[bgid];
+       lockdep_assert_held(&ctx->uring_lock);
 
-       return xa_load(&ctx->io_bl_xa, bgid);
+       return __io_buffer_get_list(ctx, ctx->io_bl, bgid);
 }
 
 static int io_buffer_add_list(struct io_ring_ctx *ctx,
                              struct io_buffer_list *bl, unsigned int bgid)
 {
+       /*
+        * Store buffer group ID and finally mark the list as visible.
+        * The normal lookup doesn't care about the visibility as we're
+        * always under the ->uring_lock, but the RCU lookup from mmap does.
+        */
        bl->bgid = bgid;
+       smp_store_release(&bl->is_ready, 1);
+
        if (bgid < BGID_ARRAY)
                return 0;
 
 
 static __cold int io_init_bl_list(struct io_ring_ctx *ctx)
 {
+       struct io_buffer_list *bl;
        int i;
 
-       ctx->io_bl = kcalloc(BGID_ARRAY, sizeof(struct io_buffer_list),
-                               GFP_KERNEL);
-       if (!ctx->io_bl)
+       bl = kcalloc(BGID_ARRAY, sizeof(struct io_buffer_list), GFP_KERNEL);
+       if (!bl)
                return -ENOMEM;
 
        for (i = 0; i < BGID_ARRAY; i++) {
-               INIT_LIST_HEAD(&ctx->io_bl[i].buf_list);
-               ctx->io_bl[i].bgid = i;
+               INIT_LIST_HEAD(&bl[i].buf_list);
+               bl[i].bgid = i;
        }
 
+       smp_store_release(&ctx->io_bl, bl);
        return 0;
 }
 
        xa_for_each(&ctx->io_bl_xa, index, bl) {
                xa_erase(&ctx->io_bl_xa, bl->bgid);
                __io_remove_buffers(ctx, bl, -1U);
-               kfree(bl);
+               kfree_rcu(bl, rcu);
        }
 
        /*
                INIT_LIST_HEAD(&bl->buf_list);
                ret = io_buffer_add_list(ctx, bl, p->bgid);
                if (ret) {
-                       kfree(bl);
+                       /*
+                        * Doesn't need rcu free as it was never visible, but
+                        * let's keep it consistent throughout. Also can't
+                        * be a lower indexed array group, as adding one
+                        * where lookup failed cannot happen.
+                        */
+                       if (p->bgid >= BGID_ARRAY)
+                               kfree_rcu(bl, rcu);
+                       else
+                               WARN_ON_ONCE(1);
                        goto err;
                }
        }
        struct io_buffer_list *bl, *free_bl = NULL;
        int ret;
 
+       lockdep_assert_held(&ctx->uring_lock);
+
        if (copy_from_user(®, arg, sizeof(reg)))
                return -EFAULT;
 
                return 0;
        }
 
-       kfree(free_bl);
+       kfree_rcu(free_bl, rcu);
        return ret;
 }
 
        struct io_uring_buf_reg reg;
        struct io_buffer_list *bl;
 
+       lockdep_assert_held(&ctx->uring_lock);
+
        if (copy_from_user(®, arg, sizeof(reg)))
                return -EFAULT;
        if (reg.resv[0] || reg.resv[1] || reg.resv[2])
        __io_remove_buffers(ctx, bl, -1U);
        if (bl->bgid >= BGID_ARRAY) {
                xa_erase(&ctx->io_bl_xa, bl->bgid);
-               kfree(bl);
+               kfree_rcu(bl, rcu);
        }
        return 0;
 }
 {
        struct io_buffer_list *bl;
 
-       bl = io_buffer_get_list(ctx, bgid);
+       bl = __io_buffer_get_list(ctx, smp_load_acquire(&ctx->io_bl), bgid);
+
+       /*
+        * Ensure the list is fully setup. Only strictly needed for RCU lookup
+        * via mmap, and in that case only for the array indexed groups. For
+        * the xarray lookups, it's either visible and ready, or not at all.
+        */
+       if (!smp_load_acquire(&bl->is_ready))
+               return NULL;
        if (!bl || !bl->is_mmap)
                return NULL;