]> err.no Git - linux-2.6/commitdiff
[IPV4]: Fix byte value boundary check in do_ip_getsockopt().
authorDavid S. Miller <davem@davemloft.net>
Thu, 10 Apr 2008 08:29:36 +0000 (01:29 -0700)
committerDavid S. Miller <davem@davemloft.net>
Thu, 10 Apr 2008 08:29:36 +0000 (01:29 -0700)
This fixes kernel bugzilla 10371.

As reported by M.Piechaczek@osmosys.tv, if we try to grab a
char sized socket option value, as in:

  unsigned char ttl = 255;
  socklen_t     len = sizeof(ttl);
  setsockopt(socket, IPPROTO_IP, IP_MULTICAST_TTL, &ttl, &len);

  getsockopt(socket, IPPROTO_IP, IP_MULTICAST_TTL, &ttl, &len);

The ttl returned will be wrong on big-endian, and on both little-
endian and big-endian the next three bytes in userspace are written
with garbage.

It's because of this test in do_ip_getsockopt():

if (len < sizeof(int) && len > 0 && val>=0 && val<255) {

It should allow a 'val' of 255 to pass here, but it doesn't so it
copies a full 'int' back to userspace.

On little-endian that will write the correct value into the location
but it spams on the next three bytes in userspace.  On big endian it
writes the wrong value into the location and spams the next three
bytes.

Signed-off-by: David S. Miller <davem@davemloft.net>
net/ipv4/ip_sockglue.c

index f72457b4b0a7c5eae44f808686915048651981d7..c2921d01e925d2b06c7f43620c16673bfba92df4 100644 (file)
@@ -1132,7 +1132,7 @@ static int do_ip_getsockopt(struct sock *sk, int level, int optname,
        }
        release_sock(sk);
 
-       if (len < sizeof(int) && len > 0 && val>=0 && val<255) {
+       if (len < sizeof(int) && len > 0 && val>=0 && val<=255) {
                unsigned char ucval = (unsigned char)val;
                len = 1;
                if (put_user(len, optlen))