GKI 16-6.12 — основные ошибки для Android

На этой странице описываются важные проблемы и исправления ошибок, обнаруженные в android-mainline , которые могут быть значимы для партнеров.

15 ноября 2024 г.

• Clang обновлен до версии 19.0.1 для android-mainline и android16-6.12

  • Краткое описание: В новой версии Clang реализован санитайзер границ для массивов, где размер массива хранится в отдельной переменной, связанной с массивом через атрибут __counted_by . Эта функция может вызвать панику ядра, если размер массива не обновляется должным образом. Сообщение об ошибке выглядит следующим образом:

  UBSAN: array-index-out-of-bounds in common/net/wireless/nl80211.c
  index 0 is out of range for type 'struct ieee80211_channel *[] __counted_by(n_channels)' (aka 'struct ieee80211_channel *[]')
  

  • Подробности: Фильтр ограничений необходим для защиты целостности ядра, выявляя попытки доступа за пределами допустимого диапазона. При включённом CONFIG_UBSAN_TRAP фильтр ограничений вызывает панику ядра при любом обнаружении.

    • Предыдущая версия средства очистки границ проверяла только массивы фиксированного размера и не могла проверять динамически выделяемые массивы. Новая версия использует атрибут __counted_by для определения границ массива во время выполнения и выявления большего количества случаев выхода за пределы выделенного пространства. Однако в некоторых случаях доступ к массиву осуществляется до установки переменной размера, что приводит к срабатыванию средства очистки границ и панике ядра. Чтобы решить эту проблему, задайте размер массива сразу после выделения базовой памяти, как показано в aosp/3343204 .

  • О CONFIG_UBSAN_SIGNED_WRAP : Новая версия Clang обрабатывает переполнение и опустошение знаковых целых чисел, несмотря на флаг компилятора -fwrapv . Флаг -fwrapv предназначен для обработки знаковых целых чисел как беззнаковых целых чисел в дополнительном коде с заданным поведением при переполнении.

    • Хотя очистка переполнения знаковых целых чисел в ядре Linux может помочь выявить ошибки, существуют случаи, когда переполнение является намеренным, например, с atomic_long_t . В результате CONFIG_UBSAN_SIGNED_WRAP был отключен , чтобы UBSAN мог функционировать исключительно как очиститель границ.

  • О CONFIG_UBSAN_TRAP : UBSAN настроен на активацию паники ядра при обнаружении проблемы для защиты целостности ядра. Однако мы отключили это поведение с 23 октября по 12 ноября . Это было сделано для того, чтобы разблокировать обновление компилятора, пока мы исправляем известные проблемы __counted_by .

1 ноября 2024 г.

• Linux 6.12-rc4 посадка
  • Краткое описание: CONFIG_OF_DYNAMIC потенциально может вызывать серьезные регрессии для неисправных драйверов.
  • Подробности: При слиянии Linux 6.12-rc1 с android-mainline мы заметили проблемы с загрузкой драйверов извне. Изменение, которое выявило ошибки драйвера, было идентифицировано как коммит 274aff8711b2 ("clk: Add KUnit tests for clks registered with struct clk_parent_data") , и мы временно отменили его в aosp/3287735 . Изменение выбирает CONFIG_OF_OVERLAY , который выбирает CONFIG_OF_DYNAMIC . С !OF_DYNAMIC подсчет ссылок в of_node_get() и of_node_put() фактически отключается, поскольку они реализованы как noops . Включение OF_DYNAMIC снова выявляет проблемы в драйверах, неправильно реализующих подсчет ссылок для struct device_node . Это приводит к различным типам ошибок, таким как повреждение памяти, использование после освобождения и утечки памяти.
  • Все случаи использования API, связанных с анализом OF, должны быть проверены. Следующий список неполный, но содержит случаи, которые мы наблюдали:
    • Использовать после освобождения (UAF):
      • Повторное использование одного и того же аргумента device_node : эти функции вызывают of_node_put() для заданного узла, возможно, потребуется добавить of_node_get() перед их вызовом (например, при повторном вызове с тем же узлом в качестве аргумента):
        • of_find_compatible_node()
        • of_find_node_by_name()
        • of_find_node_by_path()
        • of_find_node_by_type()
        • of_get_next_cpu_node()
        • of_get_next_parent()
        • of_get_next_child()
        • of_get_next_available_child()
        • of_get_next_reserved_child()
        • of_find_node_with_property()
        • of_find_matching_node_and_match()
      • Использование device_node после любого типа выхода из определенных циклов:
        • for_each_available_child_of_node_scoped()
        • for_each_available_child_of_node()
        • for_each_child_of_node_scoped()
        • for_each_child_of_node()
      • Сохранение прямых указателей на свойства char * из device_node , например, с помощью:
        • const char *foo = struct device_node::name
        • of_property_read_string()
        • of_property_read_string_array()
        • of_property_read_string_index()
        • of_get_property()
    • Утечки памяти:
      • Получаем device_node и забываем отменить ссылку на него ( of_node_put() ). Возвращаемые таким образом узлы необходимо в какой-то момент освободить:
        • of_find_compatible_node()
        • of_find_node_by_name()
        • of_find_node_by_path()
        • of_find_node_by_type()
        • of_find_node_by_phandle()
        • of_parse_phandle()
        • of_find_node_opts_by_path()
        • of_get_next_cpu_node()
        • of_get_compatible_child()
        • of_get_child_by_name()
        • of_get_parent()
        • of_get_next_parent()
        • of_get_next_child()
        • of_get_next_available_child()
        • of_get_next_reserved_child()
        • of_find_node_with_property()
        • of_find_matching_node_and_match()
    • Сохранение device_node в итерации цикла. Если вы возвращаете или прерываете выполнение из следующего кода, необходимо удалить оставшуюся ссылку в какой-то момент:
      • for_each_available_child_of_node()
      • for_each_child_of_node()
      • for_each_node_by_type()
      • for_each_compatible_node()
      • of_for_each_phandle()
  • Ранее упомянутое изменение было восстановлено при загрузке Linux 6.12-rc4 (см. aosp/3315251 ), что снова включило CONFIG_OF_DYNAMIC и потенциально сделало уязвимыми неисправные драйверы.