blame | history | raw
hc
2024-11-01 a01b5c9f91adaee088a817861603a5dbe14775c2 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110

From 1155d7dffd3337942cb7583706b429d567d4db86 Mon Sep 17 00:00:00 2001


From: Daniel Axtens <dja@axtens.net>


Date: Thu, 21 Jan 2021 18:35:22 +1100


Subject: [PATCH] disk/lvm: Do not overread metadata


 


We could reach the end of valid metadata and not realize, leading to


some buffer overreads. Check if we have reached the end and bail.


 


Signed-off-by: Daniel Axtens <dja@axtens.net>


Reviewed-by: Daniel Kiper <daniel.kiper@oracle.com>


Signed-off-by: Stefan Sørensen <stefan.sorensen@spectralink.com>


---


 grub-core/disk/lvm.c | 31 +++++++++++++++++++++++++------


 1 file changed, 25 insertions(+), 6 deletions(-)


 


diff --git a/grub-core/disk/lvm.c b/grub-core/disk/lvm.c


index bd5ae87..742ecd6 100644


--- a/grub-core/disk/lvm.c


+++ b/grub-core/disk/lvm.c


@@ -313,17 +313,23 @@ grub_lvm_detect (grub_disk_t disk,


       while (1)


         {


           grub_ssize_t s;


-          while (grub_isspace (*p))


+          while (grub_isspace (*p) && p < mda_end)


         p++;


 


+          if (p == mda_end)


+        goto fail4;


+


           if (*p == '}')


         break;


 


           pv = grub_zalloc (sizeof (*pv));


           q = p;


-          while (*q != ' ')


+          while (*q != ' ' && q < mda_end)


         q++;


 


+          if (q == mda_end)


+        goto pvs_fail_noname;


+


           s = q - p;


           pv->name = grub_malloc (s + 1);


           grub_memcpy (pv->name, p, s);


@@ -366,6 +372,7 @@ grub_lvm_detect (grub_disk_t disk,


           continue;


         pvs_fail:


           grub_free (pv->name);


+        pvs_fail_noname:


           grub_free (pv);


           goto fail4;


         }


@@ -387,18 +394,24 @@ grub_lvm_detect (grub_disk_t disk,


           struct grub_diskfilter_segment *seg;


           int is_pvmove;


 


-          while (grub_isspace (*p))


+          while (grub_isspace (*p) && p < mda_end)


         p++;


 


+          if (p == mda_end)


+        goto fail4;


+


           if (*p == '}')


         break;


 


           lv = grub_zalloc (sizeof (*lv));


 


           q = p;


-          while (*q != ' ')


+          while (*q != ' ' && q < mda_end)


         q++;


 


+          if (q == mda_end)


+        goto lvs_fail;


+


           s = q - p;


           lv->name = grub_strndup (p, s);


           if (!lv->name)


@@ -570,9 +583,12 @@ grub_lvm_detect (grub_disk_t disk,


               if (p == NULL)


                 goto lvs_segment_fail2;


               q = ++p;


-              while (*q != '"')


+              while (q < mda_end && *q != '"')


                 q++;


 


+              if (q == mda_end)


+                goto lvs_segment_fail2;


+


               s = q - p;


 


               stripe->name = grub_malloc (s + 1);


@@ -629,9 +645,12 @@ grub_lvm_detect (grub_disk_t disk,


               if (p == NULL)


                 goto lvs_segment_fail2;


               q = ++p;


-              while (*q != '"')


+              while (q < mda_end && *q != '"')


                 q++;


 


+              if (q == mda_end)


+                goto lvs_segment_fail2;


+


               s = q - p;


 


               lvname = grub_malloc (s + 1);


-- 


2.14.2