x86/p2m: CFI hardening

author Andrew Cooper <andrew.cooper3@citrix.com>

Fri, 29 Oct 2021 14:47:59 +0000 (15:47 +0100)

committer Andrew Cooper <andrew.cooper3@citrix.com>

Wed, 23 Feb 2022 15:33:43 +0000 (15:33 +0000)
author Andrew Cooper <andrew.cooper3@citrix.com>
Fri, 29 Oct 2021 14:47:59 +0000 (15:47 +0100)
committer Andrew Cooper <andrew.cooper3@citrix.com>
Wed, 23 Feb 2022 15:33:43 +0000 (15:33 +0000)
diff --git a/xen/arch/x86/include/asm/p2m.h b/xen/arch/x86/include/asm/p2m.h

index 6e2206874d629b67fd03c8c6f4a159f2959c0c9a..787374426371135486206587d5a9d89aeb1f3583 100644 (file)
--- a/xen/arch/x86/include/asm/p2m.h
+++ b/xen/arch/x86/include/asm/p2m.h
@@ -820,8 +820,8 @@ void np2m_flush_base(struct vcpu *v, unsigned long np2m_base);
  void hap_p2m_init(struct p2m_domain *p2m);
  void shadow_p2m_init(struct p2m_domain *p2m);
  
-void nestedp2m_write_p2m_entry_post(struct p2m_domain *p2m,
-                                    unsigned int oflags);
+void cf_check nestedp2m_write_p2m_entry_post(
+    struct p2m_domain *p2m, unsigned int oflags);
  
  /*
   * Alternate p2m: shadow p2m tables used for alternate memory views
diff --git a/xen/arch/x86/mm/hap/hap.c b/xen/arch/x86/mm/hap/hap.c

index 9d67a47f5fe91aa666a91f95157ed435a306b18c..c19e337d6585f61da5b034a860c5922bf11bd170 100644 (file)
--- a/xen/arch/x86/mm/hap/hap.c
+++ b/xen/arch/x86/mm/hap/hap.c
@@ -778,7 +778,7 @@ static void cf_check hap_update_paging_modes(struct vcpu *v)
      put_gfn(d, cr3_gfn);
  }
  
-static void
+static void cf_check
  hap_write_p2m_entry_post(struct p2m_domain *p2m, unsigned int oflags)
  {
      struct domain *d = p2m->domain;
diff --git a/xen/arch/x86/mm/hap/nested_hap.c b/xen/arch/x86/mm/hap/nested_hap.c

index d8a7b3b40167a4cc4c517b0ff26c43e394ce16ed..dbe5ad23a112096e40947f408d8f7d93cdd81d3f 100644 (file)
--- a/xen/arch/x86/mm/hap/nested_hap.c
+++ b/xen/arch/x86/mm/hap/nested_hap.c
@@ -71,7 +71,7 @@
  /*        NESTED VIRT P2M FUNCTIONS         */
  /********************************************/
  
-void
+void cf_check
  nestedp2m_write_p2m_entry_post(struct p2m_domain *p2m, unsigned int oflags)
  {
      if ( oflags & _PAGE_PRESENT )
diff --git a/xen/arch/x86/mm/p2m-ept.c b/xen/arch/x86/mm/p2m-ept.c

index a8a6ad629528c8c9df36299045aec1f6eb93326f..70a401c3a7ea6e0f6c493f769a7a0498f93136f0 100644 (file)
--- a/xen/arch/x86/mm/p2m-ept.c
+++ b/xen/arch/x86/mm/p2m-ept.c
@@ -624,7 +624,7 @@ int epte_get_entry_emt(struct domain *d, gfn_t gfn, mfn_t mfn,
   * - zero if no adjustment was done,
   * - a positive value if at least one adjustment was done.
   */
-static int resolve_misconfig(struct p2m_domain *p2m, unsigned long gfn)
+static int cf_check resolve_misconfig(struct p2m_domain *p2m, unsigned long gfn)
  {
      struct ept_data *ept = &p2m->ept;
      unsigned int level = ept->wl;
@@ -793,7 +793,7 @@ bool_t ept_handle_misconfig(uint64_t gpa)
   *
   * Returns: 0 for success, -errno for failure
   */
-static int
+static int cf_check
  ept_set_entry(struct p2m_domain *p2m, gfn_t gfn_, mfn_t mfn,
                unsigned int order, p2m_type_t p2mt, p2m_access_t p2ma,
                int sve)
@@ -1002,10 +1002,9 @@ out:
  }
  
  /* Read ept p2m entries */
-static mfn_t ept_get_entry(struct p2m_domain *p2m,
-                           gfn_t gfn_, p2m_type_t *t, p2m_access_t* a,
-                           p2m_query_t q, unsigned int *page_order,
-                           bool_t *sve)
+static mfn_t cf_check ept_get_entry(
+    struct p2m_domain *p2m, gfn_t gfn_, p2m_type_t *t, p2m_access_t *a,
+    p2m_query_t q, unsigned int *page_order, bool *sve)
  {
      ept_entry_t *table =
          map_domain_page(pagetable_get_mfn(p2m_get_pagetable(p2m)));
@@ -1165,8 +1164,8 @@ out:
      return;
  }
  
-static void ept_change_entry_type_global(struct p2m_domain *p2m,
-                                         p2m_type_t ot, p2m_type_t nt)
+static void cf_check ept_change_entry_type_global(
+    struct p2m_domain *p2m, p2m_type_t ot, p2m_type_t nt)
  {
      unsigned long mfn = p2m->ept.mfn;
  
@@ -1177,10 +1176,9 @@ static void ept_change_entry_type_global(struct p2m_domain *p2m,
          ept_sync_domain(p2m);
  }
  
-static int ept_change_entry_type_range(struct p2m_domain *p2m,
-                                       p2m_type_t ot, p2m_type_t nt,
-                                       unsigned long first_gfn,
-                                       unsigned long last_gfn)
+static int cf_check ept_change_entry_type_range(
+    struct p2m_domain *p2m, p2m_type_t ot, p2m_type_t nt,
+    unsigned long first_gfn, unsigned long last_gfn)
  {
      unsigned int i, wl = p2m->ept.wl;
      unsigned long mask = (1 << EPT_TABLE_ORDER) - 1;
@@ -1224,7 +1222,7 @@ static int ept_change_entry_type_range(struct p2m_domain *p2m,
      return rc < 0 ? rc : 0;
  }
  
-static void ept_memory_type_changed(struct p2m_domain *p2m)
+static void cf_check ept_memory_type_changed(struct p2m_domain *p2m)
  {
      unsigned long mfn = p2m->ept.mfn;
  
@@ -1283,7 +1281,7 @@ void ept_sync_domain(struct p2m_domain *p2m)
      ept_sync_domain_mask(p2m, d->dirty_cpumask);
  }
  
-static void ept_tlb_flush(struct p2m_domain *p2m)
+static void cf_check ept_tlb_flush(struct p2m_domain *p2m)
  {
      ept_sync_domain_mask(p2m, p2m->domain->dirty_cpumask);
  }
@@ -1346,7 +1344,7 @@ static void ept_disable_pml(struct p2m_domain *p2m)
      vmx_domain_update_eptp(p2m->domain);
  }
  
-static void ept_enable_hardware_log_dirty(struct p2m_domain *p2m)
+static void cf_check ept_enable_hardware_log_dirty(struct p2m_domain *p2m)
  {
      struct p2m_domain *hostp2m = p2m_get_hostp2m(p2m->domain);
  
@@ -1355,7 +1353,7 @@ static void ept_enable_hardware_log_dirty(struct p2m_domain *p2m)
      p2m_unlock(hostp2m);
  }
  
-static void ept_disable_hardware_log_dirty(struct p2m_domain *p2m)
+static void cf_check ept_disable_hardware_log_dirty(struct p2m_domain *p2m)
  {
      struct p2m_domain *hostp2m = p2m_get_hostp2m(p2m->domain);
  
@@ -1364,7 +1362,7 @@ static void ept_disable_hardware_log_dirty(struct p2m_domain *p2m)
      p2m_unlock(hostp2m);
  }
  
-static void ept_flush_pml_buffers(struct p2m_domain *p2m)
+static void cf_check ept_flush_pml_buffers(struct p2m_domain *p2m)
  {
      /* Domain must have been paused */
      ASSERT(atomic_read(&p2m->domain->pause_count));
diff --git a/xen/arch/x86/mm/p2m-pt.c b/xen/arch/x86/mm/p2m-pt.c

index ef3f8e02a415137196b8047f091a7c3cce13650e..eaba2b0fb4e6830f52b7d112fba8175dfe6d2770 100644 (file)
--- a/xen/arch/x86/mm/p2m-pt.c
+++ b/xen/arch/x86/mm/p2m-pt.c
@@ -399,7 +399,7 @@ static int p2m_pt_set_recalc_range(struct p2m_domain *p2m,
   * GFN. Propagate the re-calculation flag down to the next page table level
   * for entries not involved in the translation of the given GFN.
   */
-static int do_recalc(struct p2m_domain *p2m, unsigned long gfn)
+static int cf_check do_recalc(struct p2m_domain *p2m, unsigned long gfn)
  {
      void *table;
      unsigned long gfn_remainder = gfn;
@@ -573,7 +573,7 @@ static void check_entry(mfn_t mfn, p2m_type_t new, p2m_type_t old,
  }
  
  /* Returns: 0 for success, -errno for failure */
-static int
+static int cf_check
  p2m_pt_set_entry(struct p2m_domain *p2m, gfn_t gfn_, mfn_t mfn,
                   unsigned int page_order, p2m_type_t p2mt, p2m_access_t p2ma,
                   int sve)
@@ -774,7 +774,7 @@ p2m_pt_set_entry(struct p2m_domain *p2m, gfn_t gfn_, mfn_t mfn,
      return rc;
  }
  
-static mfn_t
+static mfn_t cf_check
  p2m_pt_get_entry(struct p2m_domain *p2m, gfn_t gfn_,
                   p2m_type_t *t, p2m_access_t *a, p2m_query_t q,
                   unsigned int *page_order, bool_t *sve)
@@ -943,8 +943,8 @@ pod_retry_l1:
      return (p2m_is_valid(*t) || p2m_is_any_ram(*t)) ? mfn : INVALID_MFN;
  }
  
-static void p2m_pt_change_entry_type_global(struct p2m_domain *p2m,
-                                            p2m_type_t ot, p2m_type_t nt)
+static void cf_check p2m_pt_change_entry_type_global(
+    struct p2m_domain *p2m, p2m_type_t ot, p2m_type_t nt)
  {
      l1_pgentry_t *tab;
      unsigned long gfn = 0;
@@ -983,10 +983,9 @@ static void p2m_pt_change_entry_type_global(struct p2m_domain *p2m,
           guest_flush_tlb_mask(d, d->dirty_cpumask);
  }
  
-static int p2m_pt_change_entry_type_range(struct p2m_domain *p2m,
-                                          p2m_type_t ot, p2m_type_t nt,
-                                          unsigned long first_gfn,
-                                          unsigned long last_gfn)
+static int cf_check p2m_pt_change_entry_type_range(
+    struct p2m_domain *p2m, p2m_type_t ot, p2m_type_t nt,
+    unsigned long first_gfn, unsigned long last_gfn)
  {
      unsigned long mask = (1 << PAGETABLE_ORDER) - 1;
      unsigned int i;
@@ -1025,7 +1024,7 @@ static int p2m_pt_change_entry_type_range(struct p2m_domain *p2m,
  }
  
  #if P2M_AUDIT
-static long p2m_pt_audit_p2m(struct p2m_domain *p2m)
+static long cf_check p2m_pt_audit_p2m(struct p2m_domain *p2m)
  {
      unsigned long entry_count = 0, pmbad = 0;
      unsigned long mfn, gfn, m2pfn;
author	Andrew Cooper <andrew.cooper3@citrix.com>
	Fri, 29 Oct 2021 14:47:59 +0000 (15:47 +0100)
committer	Andrew Cooper <andrew.cooper3@citrix.com>
	Wed, 23 Feb 2022 15:33:43 +0000 (15:33 +0000)
xen/arch/x86/include/asm/p2m.h		patch \| blob \| history
xen/arch/x86/mm/hap/hap.c		patch \| blob \| history
xen/arch/x86/mm/hap/nested_hap.c		patch \| blob \| history
xen/arch/x86/mm/p2m-ept.c		patch \| blob \| history
xen/arch/x86/mm/p2m-pt.c		patch \| blob \| history