]> www.infradead.org Git - users/hch/dma-mapping.git/commitdiff
bpf: Disallow fentry/fexit/freplace for exception callbacks
authorKumar Kartikeya Dwivedi <memxor@gmail.com>
Tue, 12 Sep 2023 23:32:09 +0000 (01:32 +0200)
committerAlexei Starovoitov <ast@kernel.org>
Sat, 16 Sep 2023 16:36:32 +0000 (09:36 -0700)
During testing, it was discovered that extensions to exception callbacks
had no checks, upon running a testcase, the kernel ended up running off
the end of a program having final call as bpf_throw, and hitting int3
instructions.

The reason is that while the default exception callback would have reset
the stack frame to return back to the main program's caller, the
replacing extension program will simply return back to bpf_throw, which
will instead return back to the program and the program will continue
execution, now in an undefined state where anything could happen.

The way to support extensions to an exception callback would be to mark
the BPF_PROG_TYPE_EXT main subprog as an exception_cb, and prevent it
from calling bpf_throw. This would make the JIT produce a prologue that
restores saved registers and reset the stack frame. But let's not do
that until there is a concrete use case for this, and simply disallow
this for now.

Similar issues will exist for fentry and fexit cases, where trampoline
saves data on the stack when invoking exception callback, which however
will then end up resetting the stack frame, and on return, the fexit
program will never will invoked as the return address points to the main
program's caller in the kernel. Instead of additional complexity and
back and forth between the two stacks to enable such a use case, simply
forbid it.

One key point here to note is that currently X86_TAIL_CALL_OFFSET didn't
require any modifications, even though we emit instructions before the
corresponding endbr64 instruction. This is because we ensure that a main
subprog never serves as an exception callback, and therefore the
exception callback (which will be a global subprog) can never serve as
the tail call target, eliminating any discrepancies. However, once we
support a BPF_PROG_TYPE_EXT to also act as an exception callback, it
will end up requiring change to the tail call offset to account for the
extra instructions. For simplicitly, tail calls could be disabled for
such targets.

Noting the above, it appears better to wait for a concrete use case
before choosing to permit extension programs to replace exception
callbacks.

As a precaution, we disable fentry and fexit for exception callbacks as
well.

Signed-off-by: Kumar Kartikeya Dwivedi <memxor@gmail.com>
Link: https://lore.kernel.org/r/20230912233214.1518551-13-memxor@gmail.com
Signed-off-by: Alexei Starovoitov <ast@kernel.org>
kernel/bpf/helpers.c
kernel/bpf/verifier.c

index 2c8e1ee97b7118c2c6ccd49d0fa91b23d235f9c8..7ff2a42f19963e7c4faea6d8e53a2816fa3bc05a 100644 (file)
@@ -2490,6 +2490,7 @@ __bpf_kfunc void bpf_throw(u64 cookie)
         */
        kasan_unpoison_task_stack_below((void *)ctx.sp);
        ctx.aux->bpf_exception_cb(cookie, ctx.sp, ctx.bp);
+       WARN(1, "A call to BPF exception callback should never return\n");
 }
 
 __diag_pop();
index 0ba32b62632099175e652cc9c344826b83e707f8..5ccb50fd74e5b7e1d31b29967ce63bfd384a619f 100644 (file)
@@ -19750,6 +19750,12 @@ int bpf_check_attach_target(struct bpf_verifier_log *log,
                        bpf_log(log, "Subprog %s doesn't exist\n", tname);
                        return -EINVAL;
                }
+               if (aux->func && aux->func[subprog]->aux->exception_cb) {
+                       bpf_log(log,
+                               "%s programs cannot attach to exception callback\n",
+                               prog_extension ? "Extension" : "FENTRY/FEXIT");
+                       return -EINVAL;
+               }
                conservative = aux->func_info_aux[subprog].unreliable;
                if (prog_extension) {
                        if (conservative) {