0006-virtio-out-of-bounds-buffer-write-on-invalid-state-l.patch

   1 From 23f0db5c309893195025bc75402f3f9e1b4de743 Mon Sep 17 00:00:00 2001
   2 From: "Michael S. Tsirkin" <mst@redhat.com>
   3 Date: Thu, 3 Apr 2014 19:51:14 +0300
   4 Subject: [PATCH] virtio: out-of-bounds buffer write on invalid state load
   5
   6 CVE-2013-4151 QEMU 1.0 out-of-bounds buffer write in
   7 virtio_load@hw/virtio/virtio.c
   8
   9 So we have this code since way back when:
  10
  11     num = qemu_get_be32(f);
  12
  13     for (i = 0; i < num; i++) {
  14         vdev->vq[i].vring.num = qemu_get_be32(f);
  15
  16 array of vqs has size VIRTIO_PCI_QUEUE_MAX, so
  17 on invalid input this will write beyond end of buffer.
  18
  19 Signed-off-by: Michael S. Tsirkin <mst@redhat.com>
  20 Reviewed-by: Michael Roth <mdroth@linux.vnet.ibm.com>
  21 Signed-off-by: Juan Quintela <quintela@redhat.com>
  22 (cherry picked from commit cc45995294b92d95319b4782750a3580cabdbc0c)
  23 ---
  24  hw/virtio/virtio.c | 8 +++++++-
  25  1 file changed, 7 insertions(+), 1 deletion(-)
  26
  27 diff --git a/hw/virtio/virtio.c b/hw/virtio/virtio.c
  28 index aeabf3a..05f05e7 100644
  29 --- a/hw/virtio/virtio.c
  30 +++ b/hw/virtio/virtio.c
  31 @@ -891,7 +891,8 @@ int virtio_set_features(VirtIODevice *vdev, uint32_t val)
  32
  33  int virtio_load(VirtIODevice *vdev, QEMUFile *f)
  34  {
  35 -    int num, i, ret;
  36 +    int i, ret;
  37 +    uint32_t num;
  38      uint32_t features;
  39      uint32_t supported_features;
  40      BusState *qbus = qdev_get_parent_bus(DEVICE(vdev));
  41 @@ -919,6 +920,11 @@ int virtio_load(VirtIODevice *vdev, QEMUFile *f)
  42
  43      num = qemu_get_be32(f);
  44
  45 +    if (num > VIRTIO_PCI_QUEUE_MAX) {
  46 +        error_report("Invalid number of PCI queues: 0x%x", num);
  47 +        return -1;
  48 +    }
  49 +
  50      for (i = 0; i < num; i++) {
  51          vdev->vq[i].vring.num = qemu_get_be32(f);
  52          if (k->has_variable_vring_alignment) {