本页介绍了在 android-mainline 上发现的可能对合作伙伴至关重要的重要问题和 bug 修复。
2024 年 11 月 15 日
Clang 已更新为 19.0.1(适用于
android-mainline和android16-6.12)- 摘要:新版 Clang 为数组引入了边界检查器,其中数组的大小存储在使用
__counted_by属性与数组关联的单独变量中。如果未正确更新数组大小,此功能可能会导致内核崩溃。错误消息如下所示:
UBSAN: array-index-out-of-bounds in common/net/wireless/nl80211.c index 0 is out of range for type 'struct ieee80211_channel *[] __counted_by(n_channels)' (aka 'struct ieee80211_channel *[]')详细信息:边界检查器对于通过检测越界访问来保护内核的完整性至关重要。启用
CONFIG_UBSAN_TRAP后,边界检查器会在发现任何问题时触发内核 panic。- 边界检查器的旧版本仅检查固定大小的数组,无法检查动态分配的数组。新版本使用
__counted_by属性在运行时确定数组边界,并检测更多超出边界访问的情况。但是,在某些情况下,系统会在设置大小变量之前访问数组,从而触发边界检查器并导致内核 panic。如需解决此问题,请在分配底层内存后立即设置数组的大小,如 aosp/3343204 中所示。
- 边界检查器的旧版本仅检查固定大小的数组,无法检查动态分配的数组。新版本使用
CONFIG_UBSAN_SIGNED_WRAP简介:新版 Clang 会对有符号整数溢出和欠载进行清理,即使存在-fwrapv编译器标志也是如此。-fwrapv标志旨在将有符号整数视为具有已定义溢出行为的补码无符号整数。- 虽然在 Linux 内核中对有符号整数溢出进行排错有助于发现 bug,但在某些情况下,溢出是故意为之,例如
atomic_long_t就是如此。因此,CONFIG_UBSAN_SIGNED_WRAP已停用,以允许 UBSAN 仅用作边界检查工具。
- 虽然在 Linux 内核中对有符号整数溢出进行排错有助于发现 bug,但在某些情况下,溢出是故意为之,例如
CONFIG_UBSAN_TRAP简介:UBSAN 配置为在检测到问题时触发内核 panic,以保护内核的完整性。不过,我们已在 10 月 23 日至 11 月 12 日期间停用了此行为。我们之所以这样做,是为了在解决已知__counted_by问题的同时,解除编译器更新的屏蔽。
- 摘要:新版 Clang 为数组引入了边界检查器,其中数组的大小存储在使用
2024 年 11 月 1 日
- Linux 6.12-rc4 发布
- 摘要:
CONFIG_OF_DYNAMIC可能会导致有缺陷的驱动程序出现严重回归问题。 - 详细信息:在将 Linux
6.12-rc1合并到android-mainline时,我们发现了外部驱动程序无法加载的问题。导致暴露驱动程序 bug 的更改被识别为提交274aff8711b2 ("clk: Add KUnit tests for clks registered with struct clk_parent_data"),我们已在 aosp/3287735 中暂时还原了该更改。该更改会选择CONFIG_OF_OVERLAY,后者会选择CONFIG_OF_DYNAMIC。 使用!OF_DYNAMIC时,对of_node_get()和of_node_put()的引用计数实际上会被停用,因为它们是作为noops实现的。再次启用OF_DYNAMIC会暴露驱动程序错误地为struct device_node实现引用计数的问题。这会导致各种类型的错误,例如内存损坏、释放后使用和内存泄漏。 - 必须检查与 OF 解析相关的所有 API 用法。以下列表并非详尽无遗,但包含我们一直在观察到的情况:
- 释放后再使用 (UAF):
- 重复使用相同的
device_node实参:这些函数会对给定节点调用of_node_put(),可能需要在调用它们之前添加of_node_get()(例如,在以相同节点作为实参反复调用时):of_find_compatible_node()of_find_node_by_name()of_find_node_by_path()of_find_node_by_type()of_get_next_cpu_node()of_get_next_parent()of_get_next_child()of_get_next_available_child()of_get_next_reserved_child()of_find_node_with_property()of_find_matching_node_and_match()
- 在从某些循环退出后使用
device_node:for_each_available_child_of_node_scoped()for_each_available_child_of_node()for_each_child_of_node_scoped()for_each_child_of_node()
- 保留指向
device_node中的char *属性的直接指针,例如使用以下代码:const char *foo = struct device_node::nameof_property_read_string()of_property_read_string_array()of_property_read_string_index()of_get_property()
- 重复使用相同的
- 内存泄漏:
- 获取
device_node但忘记取消引用它 (of_node_put())。从以下位置返回的节点需要在某个时间点释放:of_find_compatible_node()of_find_node_by_name()of_find_node_by_path()of_find_node_by_type()of_find_node_by_phandle()of_parse_phandle()of_find_node_opts_by_path()of_get_next_cpu_node()of_get_compatible_child()of_get_child_by_name()of_get_parent()of_get_next_parent()of_get_next_child()of_get_next_available_child()of_get_next_reserved_child()of_find_node_with_property()of_find_matching_node_and_match()
- 获取
- 从循环迭代中保留
device_node。如果您要从以下代码中返回或中断,则需要在某个时间点丢弃剩余的引用:for_each_available_child_of_node()for_each_child_of_node()for_each_node_by_type()for_each_compatible_node()of_for_each_phandle()
- 释放后再使用 (UAF):
- 在发布 Linux
6.12-rc4时,恢复了前面提到的更改(请参阅 aosp/3315251),再次启用了CONFIG_OF_DYNAMIC,并可能会公开有故障的驱动程序。
- 摘要: