免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 程序设计 内核源码 Kernel Bug-Vulnerability-Comment library
12345678910... 15下一页
最近访问板块 发新帖
查看: 36650 | 回复: 149
打印 上一主题 下一主题

Kernel Bug-Vulnerability-Comment library [复制链接]

sisi8408

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2007-08-18 13:49 |只看该作者 |倒序浏览
这里搜集/整理/讨论 linux 八哥/漏洞,和解决方案

[ 本帖最后由 sisi8408 于 2008-7-27 14:20 编辑 ]
sisi8408

论坛徽章:
0
2 [报告]
发表于 2007-08-18 13:52 |只看该作者

  2. linux-2.6.17.x/drivers/net/ppp_generic.c

  4. static void cardmap_set(struct cardmap **pmap, unsigned int nr, void *ptr)
  5. {
  6.         struct cardmap *p;
  7.         int i;

  9.         p = *pmap;
  10.         if (p == NULL || (nr >> p->shift) >= CARDMAP_WIDTH) {
  11.                 do {
  12.                         /* need a new top level */
  13.                         struct cardmap *np = kmalloc(sizeof(*np), GFP_KERNEL);
  14.                         /*
  15.                          * ¥6
  16.                          * if (np == NULL)
  17.                          *        what_to_do???
  18.                          */
  19.                         memset(np, 0, sizeof(*np));
  20.                         np->ptr[0] = p;
  21.                         if (p != NULL) {
  22.                                 np->shift = p->shift + CARDMAP_ORDER;
  23.                                 p->parent = np;
  24.                         } else
  25.                                 np->shift = 0;
  26.                         p = np;
  27.                         /*
  28.                          * ¥3
  29.                          * if (p->shift == 0)
  30.                          *      ask_linuz_stop_while_loop???
  31.                          */
  32.                 } while ((nr >> p->shift) >= CARDMAP_WIDTH);
  33.                 *pmap = p;
  34.         }
  35.         while (p->shift > 0) {
  36.                 i = (nr >> p->shift) & CARDMAP_MASK;
  37.                 if (p->ptr[i] == NULL) {
  38.                         struct cardmap *np = kmalloc(sizeof(*np), GFP_KERNEL);
  39.                         memset(np, 0, sizeof(*np));
  40.                         np->shift = p->shift - CARDMAP_ORDER;
  41.                         np->parent = p;
  42.                         p->ptr[i] = np;
  43.                 }
  44.                 if (ptr == NULL)
  45.                         clear_bit(i, &p->inuse);
  46.                 p = p->ptr[i];
  47.         }
  48.         i = nr & CARDMAP_MASK;
  49.         p->ptr[i] = ptr;
  50.         if (ptr != NULL)
  51.                 set_bit(i, &p->inuse);
  52.         else
  53.                 clear_bit(i, &p->inuse);
  54. }
复制代码

[ 本帖最后由 sisi8408 于 2007-8-18 14:20 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sisi8408

论坛徽章:
0
3 [报告]
发表于 2007-08-18 13:56 |只看该作者

  2. linux-2.6.22.1/kernel/time/timer_list.c

  4. static void print_active_timers(struct seq_file *m,
  5.         struct hrtimer_clock_base *base, u64 now)
  6. {
  7.         struct hrtimer *timer, tmp;
  8.         unsigned long next = 0, i;
  9.         struct rb_node *curr;
  10.         unsigned long flags;

  12. next_one:
  13.         i = 0;
  14.         spin_lock_irqsave(&base->cpu_base->lock, flags);

  16.         curr = base->first;
  17.         /*
  18.          * Crude but we have to do this O(N*N) thing, because
  19.          * we have to unlock the base when printing:
  20.          */
  21.         while (curr && i < next) {
  22.                 curr = rb_next(curr);
  23.                 i++;
  24.         }

  26.         if (curr) {
  27.                 timer = rb_entry(curr, struct hrtimer, node);
  28.                 tmp = *timer;
  29.                 spin_unlock_irqrestore(&base->cpu_base->lock, flags);
  30.                 /*
  31.                  * yeah Ingo Molnar, ifuleu,
  32.                  * but print shows not timer but tmp,
  33.                  * how can i see %p timer??
  34.                  */
  35.                 print_timer(m, &tmp, i, now);
  36.                 next++;
  37.                 goto next_one;
  38.         }
  39.         spin_unlock_irqrestore(&base->cpu_base->lock, flags);
  40. }
复制代码

[ 本帖最后由 sisi8408 于 2007-8-18 13:58 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sisi8408

论坛徽章:
0
4 [报告]
发表于 2007-08-18 14:04 |只看该作者

  2. /*
  3. * linux-2.6.22.1/net/ipv4/ip_fragment.c
  4. *
  5. * Oops, a fragment queue timed out.
  6. * Kill it and send an ICMP reply.
  7. *
  8. * sisi 2007-8-13 02:27pm
  9. */
  10. static void ip_expire(unsigned long arg)
  11. {
  12.         struct ipq *qp = (struct ipq *) arg;

  14.         spin_lock(&qp->lock);

  16.         if (qp->last_in & COMPLETE)
  17.                 goto out;

  19.         ipq_kill(qp);

  21.         IP_INC_STATS_BH(IPSTATS_MIB_REASMTIMEOUT);
  22.         IP_INC_STATS_BH(IPSTATS_MIB_REASMFAILS);

  24.         if ((qp->last_in&FIRST_IN) && qp->fragments != NULL) {
  25.                 struct sk_buff *head = qp->fragments;
  26.                 /*
  27.                  * Send an ICMP "Fragment Reassembly Timeout" message.
  28.                  *
  29.                  * 由这里引发
  30.                  */
  31.                 if ((head->dev = dev_get_by_index(qp->iif)) != NULL) {
  32.                         icmp_send(head, ICMP_TIME_EXCEEDED, ICMP_EXC_FRAGTIME, 0);
  33.                         dev_put(head->dev);
  34.                 }
  35.         }
  36. out:
  37.         spin_unlock(&qp->lock);
  38.         ipq_put(qp, NULL);
  39. }

  41. void icmp_send(struct sk_buff *skb_in, int type, int code, __be32 info)
  42. {
  43.         struct iphdr *iph;
  44.         int room;
  45.         struct icmp_bxm icmp_param;
  46.         struct rtable *rt = (struct rtable *)skb_in->dst;
  47.         struct ipcm_cookie ipc;
  48.         __be32 saddr;
  49.         u8  tos;

  51.         if (!rt) {
  52.                 /* 在这里兑现,
  53.                  *
  54.                  * defarg, if issued by netfilter,
  55.                  * at PRE_ROUTING in normal cases,
  56.                  * 谁给skb_in->dst赋值?
  57.                  *
  58.                  * 本应发送Fragment Reassembly Timeout message,
  59.                  * 确没有发。
  60.                  */
  61.                 goto out;
  62.         }
  63. }
复制代码


  2. shot bug by daemeon

  4. --- linux-2.6.22/net/ipv4/icmp.c        2007-07-09 07:32:17.000000000 +0800
  5. +++ new/net/ipv4/icmp.c        2007-08-13 17:36:21.000000000 +0800
  6. @@ -440,9 +440,6 @@ void icmp_send(struct sk_buff *skb_in, i
  7.         __be32 saddr;
  8.         u8  tos;

  10. -        if (!rt)
  11. -                goto out;
  12. -
  13.         /*
  14.          *        Find the original header. It is expected to be valid, of course.
  15.          *        Check this, icmp_send is called from the most obscure devices
  16. @@ -461,16 +458,24 @@ void icmp_send(struct sk_buff *skb_in, i
  17.                 goto out;

  19.         /*
  20. -         *        Now check at the protocol level
  21. +         *        Only reply to fragment 0. We byte re-order the constant
  22. +         *        mask for efficiency.
  23.          */
  24. -        if (rt->rt_flags & (RTCF_BROADCAST | RTCF_MULTICAST))
  25. +        if (iph->frag_off & htons(IP_OFFSET))
  26.                 goto out;

  28. +        if (!rt) {
  29. +                if (ip_route_input(skb_in, iph->daddr, iph->saddr,
  30. +                                        iph->tos, skb_in->dev) != 0)
  31. +                        goto out;
  32. +
  33. +                rt = (struct rtable *)skb_in->dst;
  34. +        }
  35. +
  36.         /*
  37. -         *        Only reply to fragment 0. We byte re-order the constant
  38. -         *        mask for efficiency.
  39. +         *        Now check at the protocol level
  40.          */
  41. -        if (iph->frag_off & htons(IP_OFFSET))
  42. +        if (rt->rt_flags & (RTCF_BROADCAST | RTCF_MULTICAST))
  43.                 goto out;

  45.         /*
复制代码


daemeon won ¥4。
版权问题,请daemeon大哥确认。


  2. refined by rtable

  4. +        if (!rt) {
  5. +                struct net_device __ndev;
  6. +
  7. +                if (skb_in->input_dev)
  8. +                    __ndev = skb_in->input_dev;
  9. +                else
  10. +                   __ndev = get_dev_by_index(skb_in->iif);
  11. +                if (!__ndev)
  12. +                   goto out;
  13. +
  14. +                if (ip_route_input(skb_in, iph->daddr, iph->saddr,
  15. +                                             iph->tos, __ndev) != 0)
  16. +                        goto out;
  17. +
  18. +                rt = (struct rtable *)skb_in->dst;
  19. +        }
复制代码

[ 本帖最后由 sisi8408 于 2007-8-18 14:37 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sisi8408

论坛徽章:
0
5 [报告]
发表于 2007-08-18 14:06 |只看该作者

  2. /*
  3. * linux-2.6.22.1/net/xfrm/xfrm_state.c
  4. * sisi 2007-8-14 10:44am
  5. */
  6. int km_report (u8 proto, struct xfrm_selector *sel, xfrm_address_t *addr)
  7. {
  8.         int err = -EINVAL;
  9.         int ret;
  10.         struct xfrm_mgr *km;

  12.         read_lock(&xfrm_km_lock);
  13.         list_for_each_entry(km, &xfrm_km_list, list) {
  14.                 if (km->report) {
  15.                         ret = km->report(proto, sel, addr);
  16.                         if (!ret)
  17.                                 err = ret;
  18.                 }
  19.         }
  20.         read_unlock(&xfrm_km_lock);
  21.         /*
  22.          * err report bug
  23.          */
  24.         return err;
  25. }
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sisi8408

论坛徽章:
0
6 [报告]
发表于 2007-08-18 14:10 |只看该作者

  2. linux-2.6.20.7 漏洞

  4. static int wanpipe_rcv(struct sk_buff *skb, struct net_device *dev,
  5.                        struct sock *sk)
  6. {
  7.         struct wan_sockaddr_ll * sll = (struct wan_sockaddr_ll *)skb->cb;
  8.         wanpipe_common_t * chan = dev->priv;
  9.         /*
  10.          * When we registered the protocol,
  11.          * we saved the socket in the data field for just this event.
  12.          */
  13.         skb->dev = dev;

  15.         sll->sll_family = AF_WANPIPE;
  16.         sll->sll_hatype = dev->type;
  17.         sll->sll_protocol = skb->protocol;
  18.         sll->sll_pkttype = skb->pkt_type;
  19.         sll->sll_ifindex = dev->ifindex;
  20.       
  21.         sll->sll_halen = 0;
  22.         if (dev->hard_header_parse)
  23.                 sll->sll_halen = dev->hard_header_parse(skb, sll->sll_addr);

  25.         /*
  26.          * WAN_PACKET_DATA : Data which should be passed up the receive queue.
  27.          * WAN_PACKET_ASYC : Asynchronous data like place call, which should
  28.          *                   be passed up the listening sock.
  29.          * WAN_PACKET_ERR  : Asynchronous data like clear call or restart
  30.          *                   which should go into an error queue.
  31.          */
  32.         switch (skb->pkt_type) {
  33.                 case WAN_PACKET_DATA:
  34.                         if (sock_queue_rcv_skb(sk, skb) < 0) {
  35.                                 return -ENOMEM;
  36.                         }
  37.                         break;
  38.                
  39.                 case WAN_PACKET_CMD:
  40.                         sk->sk_state = chan->state;
  41.                         /* Bug fix: update Mar6.
  42.                          * Do not set the sock lcn number here, since
  43.                           * cmd is not guaranteed to be executed on the
  44.                          * board, thus Lcn could be wrong
  45.                          */
  46.                         sk->sk_data_ready(sk, skb->len);
  47.                         kfree_skb(skb);
  48.                         break;
  49.                
  50.                 case WAN_PACKET_ERR:
  51.                         sk->sk_state = chan->state;
  52.                         if (sock_queue_err_skb(sk,skb)<0){
  53.                                 return -ENOMEM;
  54.                         }
  55.                         break;
  56.                
  57.                 default:
  58.                         //at this case 就在这儿,呵呵
  59.                         printk(KERN_INFO "wansock: BH Illegal Packet Type Dropping\n");
  60.                         kfree_skb(skb);
  61.                         break;
  62.         }
  63.         return 0;
  64. }
复制代码
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
daemeon

论坛徽章:
0
7 [报告]
发表于 2007-08-18 14:53 |只看该作者

回复 #1 sisi8408 的帖子

>>请daemeon大哥确认
狂汗

print_active_timers不会是指Andrew的注释里的说问题吧?
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sisi8408

论坛徽章:
0
8 [报告]
发表于 2007-08-18 14:58 |只看该作者

回复 #7 daemeon 的帖子

请细说Andrew的注释里的问题,

这里请注意spin lock 的用法,¥1 就为这个。

化¥1 理解I Molnar的苦心,if(timer_pending(t))让俺受苦。
¥5 for WAN 还等你出手,呵呵。

[ 本帖最后由 sisi8408 于 2007-8-18 15:13 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
daemeon

论坛徽章:
0
9 [报告]
发表于 2007-08-18 16:06 |只看该作者

回复 #8 sisi8408 的帖子

spin_lock用法没有问题.
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sisi8408

论坛徽章:
0
10 [报告]
发表于 2007-08-18 16:22 |只看该作者

回复 #9 daemeon 的帖子

的确没问题,他干吗用个tmp,还要memcpy?
俺查看timer的地址,对吗?

[ 本帖最后由 sisi8408 于 2007-8-18 16:33 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12345678910... 15下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP