0021-ssi-sd-fix-buffer-overrun-on-invalid-state-load.patch

   1 From d2c50b94a808f06d778746aec63ce2cb4eb1222f Mon Sep 17 00:00:00 2001
   2 From: "Michael S. Tsirkin" <mst@redhat.com>
   3 Date: Mon, 28 Apr 2014 16:08:14 +0300
   4 Subject: [PATCH] ssi-sd: fix buffer overrun on invalid state load
   5
   6 CVE-2013-4537
   7
   8 s->arglen is taken from wire and used as idx
   9 in ssi_sd_transfer().
  10
  11 Validate it before access.
  12
  13 Signed-off-by: Michael S. Tsirkin <mst@redhat.com>
  14 Signed-off-by: Juan Quintela <quintela@redhat.com>
  15 (cherry picked from commit a9c380db3b8c6af19546a68145c8d1438a09c92b)
  16 ---
  17  hw/sd/ssi-sd.c | 9 +++++++++
  18  1 file changed, 9 insertions(+)
  19
  20 diff --git a/hw/sd/ssi-sd.c b/hw/sd/ssi-sd.c
  21 index 3273c8a..b012e57 100644
  22 --- a/hw/sd/ssi-sd.c
  23 +++ b/hw/sd/ssi-sd.c
  24 @@ -230,8 +230,17 @@ static int ssi_sd_load(QEMUFile *f, void *opaque, int version_id)
  25      for (i = 0; i < 5; i++)
  26          s->response[i] = qemu_get_be32(f);
  27      s->arglen = qemu_get_be32(f);
  28 +    if (s->mode == SSI_SD_CMDARG &&
  29 +        (s->arglen < 0 || s->arglen >= ARRAY_SIZE(s->cmdarg))) {
  30 +        return -EINVAL;
  31 +    }
  32      s->response_pos = qemu_get_be32(f);
  33      s->stopping = qemu_get_be32(f);
  34 +    if (s->mode == SSI_SD_RESPONSE &&
  35 +        (s->response_pos < 0 || s->response_pos >= ARRAY_SIZE(s->response) ||
  36 +        (!s->stopping && s->arglen > ARRAY_SIZE(s->response)))) {
  37 +        return -EINVAL;
  38 +    }
  39
  40      ss->cs = qemu_get_be32(f);
  41