*info = "failed to unpack profile transition table";
                goto fail;
        }
-       /* TODO: move compat mapping here, requires dfa merging first */
 
+       /* TODO: move compat mapping here, requires dfa merging first */
+       /* TODO: move verify here, it has to be done after compat mappings */
 out:
        return 0;
 
        return true;
 }
 
+static bool verify_perm_indexes(struct aa_policydb *pdb)
+{
+       int i;
+
+       for (i = 0; i < pdb->size; i++) {
+               if (pdb->perms[i].xindex >= pdb->trans.size)
+                       return false;
+               if (pdb->perms[i].tag >= pdb->trans.size)
+                       return false;
+               if (pdb->perms[i].label >= pdb->trans.size)
+                       return false;
+       }
+
+       return true;
+}
+
 /**
  * verify_profile - Do post unpack analysis to verify profile consistency
  * @profile: profile to verify (NOT NULL)
                return -EPROTO;
        }
 
+       if (!verify_perm_indexes(&profile->file)) {
+               audit_iface(profile, NULL, NULL,
+                           "Unpack: Invalid perm index", NULL, -EPROTO);
+               return -EPROTO;
+       }
+       if (!verify_perm_indexes(&profile->policy)) {
+               audit_iface(profile, NULL, NULL,
+                           "Unpack: Invalid perm index", NULL, -EPROTO);
+               return -EPROTO;
+       }
+       if (!verify_perm_indexes(&profile->xmatch)) {
+               audit_iface(profile, NULL, NULL,
+                           "Unpack: Invalid perm index", NULL, -EPROTO);
+               return -EPROTO;
+       }
+
        return 0;
 }