zd1211rw: fix potential use-after-free bug
[linux-2.6] / drivers / connector / connector.c
1 /*
2  *      connector.c
3  * 
4  * 2004-2005 Copyright (c) Evgeniy Polyakov <johnpol@2ka.mipt.ru>
5  * All rights reserved.
6  * 
7  * This program is free software; you can redistribute it and/or modify
8  * it under the terms of the GNU General Public License as published by
9  * the Free Software Foundation; either version 2 of the License, or
10  * (at your option) any later version.
11  *
12  * This program is distributed in the hope that it will be useful,
13  * but WITHOUT ANY WARRANTY; without even the implied warranty of
14  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15  * GNU General Public License for more details.
16  *
17  * You should have received a copy of the GNU General Public License
18  * along with this program; if not, write to the Free Software
19  * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
20  */
21
22 #include <linux/kernel.h>
23 #include <linux/module.h>
24 #include <linux/list.h>
25 #include <linux/skbuff.h>
26 #include <linux/netlink.h>
27 #include <linux/moduleparam.h>
28 #include <linux/connector.h>
29 #include <linux/mutex.h>
30
31 #include <net/sock.h>
32
33 MODULE_LICENSE("GPL");
34 MODULE_AUTHOR("Evgeniy Polyakov <johnpol@2ka.mipt.ru>");
35 MODULE_DESCRIPTION("Generic userspace <-> kernelspace connector.");
36
37 static u32 cn_idx = CN_IDX_CONNECTOR;
38 static u32 cn_val = CN_VAL_CONNECTOR;
39
40 module_param(cn_idx, uint, 0);
41 module_param(cn_val, uint, 0);
42 MODULE_PARM_DESC(cn_idx, "Connector's main device idx.");
43 MODULE_PARM_DESC(cn_val, "Connector's main device val.");
44
45 static DEFINE_MUTEX(notify_lock);
46 static LIST_HEAD(notify_list);
47
48 static struct cn_dev cdev;
49
50 static int cn_already_initialized;
51
52 /*
53  * msg->seq and msg->ack are used to determine message genealogy.
54  * When someone sends message it puts there locally unique sequence
55  * and random acknowledge numbers.  Sequence number may be copied into
56  * nlmsghdr->nlmsg_seq too.
57  *
58  * Sequence number is incremented with each message to be sent.
59  *
60  * If we expect reply to our message then the sequence number in
61  * received message MUST be the same as in original message, and
62  * acknowledge number MUST be the same + 1.
63  *
64  * If we receive a message and its sequence number is not equal to the
65  * one we are expecting then it is a new message.
66  *
67  * If we receive a message and its sequence number is the same as one
68  * we are expecting but it's acknowledgement number is not equal to
69  * the acknowledgement number in the original message + 1, then it is
70  * a new message.
71  *
72  */
73 int cn_netlink_send(struct cn_msg *msg, u32 __group, gfp_t gfp_mask)
74 {
75         struct cn_callback_entry *__cbq;
76         unsigned int size;
77         struct sk_buff *skb;
78         struct nlmsghdr *nlh;
79         struct cn_msg *data;
80         struct cn_dev *dev = &cdev;
81         u32 group = 0;
82         int found = 0;
83
84         if (!__group) {
85                 spin_lock_bh(&dev->cbdev->queue_lock);
86                 list_for_each_entry(__cbq, &dev->cbdev->queue_list,
87                                     callback_entry) {
88                         if (cn_cb_equal(&__cbq->id.id, &msg->id)) {
89                                 found = 1;
90                                 group = __cbq->group;
91                                 break;
92                         }
93                 }
94                 spin_unlock_bh(&dev->cbdev->queue_lock);
95
96                 if (!found)
97                         return -ENODEV;
98         } else {
99                 group = __group;
100         }
101
102         if (!netlink_has_listeners(dev->nls, group))
103                 return -ESRCH;
104
105         size = NLMSG_SPACE(sizeof(*msg) + msg->len);
106
107         skb = alloc_skb(size, gfp_mask);
108         if (!skb)
109                 return -ENOMEM;
110
111         nlh = NLMSG_PUT(skb, 0, msg->seq, NLMSG_DONE, size - sizeof(*nlh));
112
113         data = NLMSG_DATA(nlh);
114
115         memcpy(data, msg, sizeof(*data) + msg->len);
116
117         NETLINK_CB(skb).dst_group = group;
118
119         return netlink_broadcast(dev->nls, skb, 0, group, gfp_mask);
120
121 nlmsg_failure:
122         kfree_skb(skb);
123         return -EINVAL;
124 }
125 EXPORT_SYMBOL_GPL(cn_netlink_send);
126
127 /*
128  * Callback helper - queues work and setup destructor for given data.
129  */
130 static int cn_call_callback(struct cn_msg *msg, void (*destruct_data)(void *), void *data)
131 {
132         struct cn_callback_entry *__cbq, *__new_cbq;
133         struct cn_dev *dev = &cdev;
134         int err = -ENODEV;
135
136         spin_lock_bh(&dev->cbdev->queue_lock);
137         list_for_each_entry(__cbq, &dev->cbdev->queue_list, callback_entry) {
138                 if (cn_cb_equal(&__cbq->id.id, &msg->id)) {
139                         if (likely(!work_pending(&__cbq->work) &&
140                                         __cbq->data.ddata == NULL)) {
141                                 __cbq->data.callback_priv = msg;
142
143                                 __cbq->data.ddata = data;
144                                 __cbq->data.destruct_data = destruct_data;
145
146                                 if (queue_work(dev->cbdev->cn_queue,
147                                                         &__cbq->work))
148                                         err = 0;
149                                 else
150                                         err = -EINVAL;
151                         } else {
152                                 struct cn_callback_data *d;
153                                 
154                                 err = -ENOMEM;
155                                 __new_cbq = kzalloc(sizeof(struct cn_callback_entry), GFP_ATOMIC);
156                                 if (__new_cbq) {
157                                         d = &__new_cbq->data;
158                                         d->callback_priv = msg;
159                                         d->callback = __cbq->data.callback;
160                                         d->ddata = data;
161                                         d->destruct_data = destruct_data;
162                                         d->free = __new_cbq;
163
164                                         INIT_WORK(&__new_cbq->work,
165                                                         &cn_queue_wrapper);
166
167                                         if (queue_work(dev->cbdev->cn_queue,
168                                                     &__new_cbq->work))
169                                                 err = 0;
170                                         else {
171                                                 kfree(__new_cbq);
172                                                 err = -EINVAL;
173                                         }
174                                 }
175                         }
176                         break;
177                 }
178         }
179         spin_unlock_bh(&dev->cbdev->queue_lock);
180
181         return err;
182 }
183
184 /*
185  * Main netlink receiving function.
186  *
187  * It checks skb, netlink header and msg sizes, and calls callback helper.
188  */
189 static void cn_rx_skb(struct sk_buff *__skb)
190 {
191         struct cn_msg *msg;
192         struct nlmsghdr *nlh;
193         int err;
194         struct sk_buff *skb;
195
196         skb = skb_get(__skb);
197
198         if (skb->len >= NLMSG_SPACE(0)) {
199                 nlh = nlmsg_hdr(skb);
200
201                 if (nlh->nlmsg_len < sizeof(struct cn_msg) ||
202                     skb->len < nlh->nlmsg_len ||
203                     nlh->nlmsg_len > CONNECTOR_MAX_MSG_SIZE) {
204                         kfree_skb(skb);
205                         return;
206                 }
207
208                 msg = NLMSG_DATA(nlh);
209                 err = cn_call_callback(msg, (void (*)(void *))kfree_skb, skb);
210                 if (err < 0)
211                         kfree_skb(skb);
212         }
213 }
214
215 /*
216  * Notification routing.
217  *
218  * Gets id and checks if there are notification request for it's idx
219  * and val.  If there are such requests notify the listeners with the
220  * given notify event.
221  *
222  */
223 static void cn_notify(struct cb_id *id, u32 notify_event)
224 {
225         struct cn_ctl_entry *ent;
226
227         mutex_lock(&notify_lock);
228         list_for_each_entry(ent, &notify_list, notify_entry) {
229                 int i;
230                 struct cn_notify_req *req;
231                 struct cn_ctl_msg *ctl = ent->msg;
232                 int idx_found, val_found;
233
234                 idx_found = val_found = 0;
235
236                 req = (struct cn_notify_req *)ctl->data;
237                 for (i = 0; i < ctl->idx_notify_num; ++i, ++req) {
238                         if (id->idx >= req->first && 
239                                         id->idx < req->first + req->range) {
240                                 idx_found = 1;
241                                 break;
242                         }
243                 }
244
245                 for (i = 0; i < ctl->val_notify_num; ++i, ++req) {
246                         if (id->val >= req->first && 
247                                         id->val < req->first + req->range) {
248                                 val_found = 1;
249                                 break;
250                         }
251                 }
252
253                 if (idx_found && val_found) {
254                         struct cn_msg m = { .ack = notify_event, };
255
256                         memcpy(&m.id, id, sizeof(m.id));
257                         cn_netlink_send(&m, ctl->group, GFP_KERNEL);
258                 }
259         }
260         mutex_unlock(&notify_lock);
261 }
262
263 /*
264  * Callback add routing - adds callback with given ID and name.
265  * If there is registered callback with the same ID it will not be added.
266  *
267  * May sleep.
268  */
269 int cn_add_callback(struct cb_id *id, char *name, void (*callback)(void *))
270 {
271         int err;
272         struct cn_dev *dev = &cdev;
273
274         if (!cn_already_initialized)
275                 return -EAGAIN;
276
277         err = cn_queue_add_callback(dev->cbdev, name, id, callback);
278         if (err)
279                 return err;
280
281         cn_notify(id, 0);
282
283         return 0;
284 }
285 EXPORT_SYMBOL_GPL(cn_add_callback);
286
287 /*
288  * Callback remove routing - removes callback
289  * with given ID.
290  * If there is no registered callback with given
291  * ID nothing happens.
292  *
293  * May sleep while waiting for reference counter to become zero.
294  */
295 void cn_del_callback(struct cb_id *id)
296 {
297         struct cn_dev *dev = &cdev;
298
299         cn_queue_del_callback(dev->cbdev, id);
300         cn_notify(id, 1);
301 }
302 EXPORT_SYMBOL_GPL(cn_del_callback);
303
304 /*
305  * Checks two connector's control messages to be the same.
306  * Returns 1 if they are the same or if the first one is corrupted.
307  */
308 static int cn_ctl_msg_equals(struct cn_ctl_msg *m1, struct cn_ctl_msg *m2)
309 {
310         int i;
311         struct cn_notify_req *req1, *req2;
312
313         if (m1->idx_notify_num != m2->idx_notify_num)
314                 return 0;
315
316         if (m1->val_notify_num != m2->val_notify_num)
317                 return 0;
318
319         if (m1->len != m2->len)
320                 return 0;
321
322         if ((m1->idx_notify_num + m1->val_notify_num) * sizeof(*req1) !=
323             m1->len)
324                 return 1;
325
326         req1 = (struct cn_notify_req *)m1->data;
327         req2 = (struct cn_notify_req *)m2->data;
328
329         for (i = 0; i < m1->idx_notify_num; ++i) {
330                 if (req1->first != req2->first || req1->range != req2->range)
331                         return 0;
332                 req1++;
333                 req2++;
334         }
335
336         for (i = 0; i < m1->val_notify_num; ++i) {
337                 if (req1->first != req2->first || req1->range != req2->range)
338                         return 0;
339                 req1++;
340                 req2++;
341         }
342
343         return 1;
344 }
345
346 /*
347  * Main connector device's callback.
348  *
349  * Used for notification of a request's processing.
350  */
351 static void cn_callback(void *data)
352 {
353         struct cn_msg *msg = data;
354         struct cn_ctl_msg *ctl;
355         struct cn_ctl_entry *ent;
356         u32 size;
357
358         if (msg->len < sizeof(*ctl))
359                 return;
360
361         ctl = (struct cn_ctl_msg *)msg->data;
362
363         size = (sizeof(*ctl) + ((ctl->idx_notify_num +
364                                  ctl->val_notify_num) *
365                                 sizeof(struct cn_notify_req)));
366
367         if (msg->len != size)
368                 return;
369
370         if (ctl->len + sizeof(*ctl) != msg->len)
371                 return;
372
373         /*
374          * Remove notification.
375          */
376         if (ctl->group == 0) {
377                 struct cn_ctl_entry *n;
378
379                 mutex_lock(&notify_lock);
380                 list_for_each_entry_safe(ent, n, &notify_list, notify_entry) {
381                         if (cn_ctl_msg_equals(ent->msg, ctl)) {
382                                 list_del(&ent->notify_entry);
383                                 kfree(ent);
384                         }
385                 }
386                 mutex_unlock(&notify_lock);
387
388                 return;
389         }
390
391         size += sizeof(*ent);
392
393         ent = kzalloc(size, GFP_KERNEL);
394         if (!ent)
395                 return;
396
397         ent->msg = (struct cn_ctl_msg *)(ent + 1);
398
399         memcpy(ent->msg, ctl, size - sizeof(*ent));
400
401         mutex_lock(&notify_lock);
402         list_add(&ent->notify_entry, &notify_list);
403         mutex_unlock(&notify_lock);
404 }
405
406 static int __devinit cn_init(void)
407 {
408         struct cn_dev *dev = &cdev;
409         int err;
410
411         dev->input = cn_rx_skb;
412         dev->id.idx = cn_idx;
413         dev->id.val = cn_val;
414
415         dev->nls = netlink_kernel_create(&init_net, NETLINK_CONNECTOR,
416                                          CN_NETLINK_USERS + 0xf,
417                                          dev->input, NULL, THIS_MODULE);
418         if (!dev->nls)
419                 return -EIO;
420
421         dev->cbdev = cn_queue_alloc_dev("cqueue", dev->nls);
422         if (!dev->cbdev) {
423                 netlink_kernel_release(dev->nls);
424                 return -EINVAL;
425         }
426         
427         cn_already_initialized = 1;
428
429         err = cn_add_callback(&dev->id, "connector", &cn_callback);
430         if (err) {
431                 cn_already_initialized = 0;
432                 cn_queue_free_dev(dev->cbdev);
433                 netlink_kernel_release(dev->nls);
434                 return -EINVAL;
435         }
436
437         return 0;
438 }
439
440 static void __devexit cn_fini(void)
441 {
442         struct cn_dev *dev = &cdev;
443
444         cn_already_initialized = 0;
445
446         cn_del_callback(&dev->id);
447         cn_queue_free_dev(dev->cbdev);
448         netlink_kernel_release(dev->nls);
449 }
450
451 subsys_initcall(cn_init);
452 module_exit(cn_fini);