ovl: fix out of bounds access warning in ovl_check_fb_len()
authorAmir Goldstein <amir73il@gmail.com>
Sat, 23 May 2020 13:21:55 +0000 (16:21 +0300)
committerMiklos Szeredi <mszeredi@redhat.com>
Tue, 2 Jun 2020 20:20:25 +0000 (22:20 +0200)
commit522f6e6cba6880a038e2bd88e10390b84cd3febd
tree961e5f4e11905dae3156031fe925bc4b327cb3ae
parent144da23beab87b27992e5e1b41bd954de0bf2581
ovl: fix out of bounds access warning in ovl_check_fb_len()

syzbot reported out of bounds memory access from open_by_handle_at()
with a crafted file handle that looks like this:

  { .handle_bytes = 2, .handle_type = OVL_FILEID_V1 }

handle_bytes gets rounded down to 0 and we end up calling:
  ovl_check_fh_len(fh, 0) => ovl_check_fb_len(fh + 3, -3)

But fh buffer is only 2 bytes long, so accessing struct ovl_fb at
fh + 3 is illegal.

Fixes: cbe7fba8edfc ("ovl: make sure that real fid is 32bit aligned in memory")
Reported-and-tested-by: syzbot+61958888b1c60361a791@syzkaller.appspotmail.com
Cc: <stable@vger.kernel.org> # v5.5
Signed-off-by: Amir Goldstein <amir73il@gmail.com>
Signed-off-by: Miklos Szeredi <mszeredi@redhat.com>
fs/overlayfs/overlayfs.h