projects / xen.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 78c0000) | patch
grant_table: harden bound accesses
authorNorbert Manthey <nmanthey@amazon.de>
Wed, 31 Jul 2019 11:12:12 +0000 (13:12 +0200)
committerJan Beulich <jbeulich@suse.com>
Wed, 31 Jul 2019 11:12:12 +0000 (13:12 +0200)
commita62776332cac92d6d00d8ae4d3441bc65085bf49
tree7f22f38c6970bfc0c8301697f58d9dfac34f7855tree | snapshot
parent78c0000c87ce498bf621914c0554b83fac3ee00dcommit | diff
grant_table: harden bound accesses

Guests can issue grant table operations and provide guest controlled
data to them. This data is used as index for memory loads after bound
checks have been done. To avoid speculative out-of-bound accesses, we
use the array_index_nospec macro where applicable, or the macro
block_speculation. Note, the block_speculation macro is used on all
path in shared_entry_header and nr_grant_entries. This way, after a
call to such a function, all bound checks that happened before become
architectural visible, so that no additional protection is required
for corresponding array accesses. As the way we introduce an lfence
instruction might allow the compiler to reload certain values from
memory multiple times, we try to avoid speculatively continuing
execution with stale register data by moving relevant data into
function local variables.

Speculative execution is not blocked in case one of the following
properties is true:
 - path cannot be triggered by the guest
 - path does not return to the guest
 - path does not result in an out-of-bound access
 - path is unlikely to be executed repeatedly in rapid succession
Only the combination of the above properties allows to actually leak
continuous chunks of memory. Therefore, we only add the penalty of
protective mechanisms in case a potential speculative out-of-bound
access matches all the above properties.

This commit addresses only out-of-bound accesses whose index is
directly controlled by the guest, and the index is checked before.
Potential out-of-bound accesses that are caused by speculatively
evaluating the version of the current table are not addressed in this
commit. Hence, speculative out-of-bound accesses might still be
possible, for example in gnttab_get_status_frame_mfn, when calling
gnttab_grow_table, the assertion that the grant table version equals
two might not hold under speculation.

This is part of the speculative hardening effort.

Signed-off-by: Norbert Manthey <nmanthey@amazon.de>
Reviewed-by: Jan Beulich <jbeulich@suse.com>
xen/common/grant_table.c diff | blob | history
Unnamed repository; edit this file 'description' to name the repository.