wireless: radiotap: fix parsing buffer overrun
authorJohannes Berg <johannes.berg@intel.com>
Fri, 11 Oct 2013 12:47:05 +0000 (14:47 +0200)
committerJohannes Berg <johannes.berg@intel.com>
Mon, 14 Oct 2013 07:47:00 +0000 (09:47 +0200)
commitf5563318ff1bde15b10e736e97ffce13be08bc1a
treeba7cbabe2a7b788c2dc59aea858ef95a1537b8a4
parentf38dd58ccca0d612e62509f75e99952dcf316cb2
wireless: radiotap: fix parsing buffer overrun

When parsing an invalid radiotap header, the parser can overrun
the buffer that is passed in because it doesn't correctly check
 1) the minimum radiotap header size
 2) the space for extended bitmaps

The first issue doesn't affect any in-kernel user as they all
check the minimum size before calling the radiotap function.
The second issue could potentially affect the kernel if an skb
is passed in that consists only of the radiotap header with a
lot of extended bitmaps that extend past the SKB. In that case
a read-only buffer overrun by at most 4 bytes is possible.

Fix this by adding the appropriate checks to the parser.

Cc: stable@vger.kernel.org
Reported-by: Evan Huus <eapache@gmail.com>
Signed-off-by: Johannes Berg <johannes.berg@intel.com>
net/wireless/radiotap.c