ipmi/powernv: Fix potential invalid pointer dereference
authorNeelesh Gupta <neelegup@linux.vnet.ibm.com>
Thu, 16 Jul 2015 11:16:54 +0000 (16:46 +0530)
committerCorey Minyard <cminyard@mvista.com>
Thu, 3 Sep 2015 20:01:55 +0000 (15:01 -0500)
If the OPAL call to receive the ipmi message fails, then we free up the
smi message and return. But, the driver still holds the reference to
old smi message in the 'cur_msg' which can potentially be accessed later
and freed again leading to kernel oops. To fix it up,

The kernel driver should reset the 'cur_msg' and send reply to the user
in addition to freeing the message.

Signed-off-by: Neelesh Gupta <neelegup@linux.vnet.ibm.com>
Fixed a checkpatch warning dealing with an else after a return.

Signed-off-by: Corey Minyard <cminyard@mvista.com>
drivers/char/ipmi/ipmi_powernv.c

index 9b409c0f14f7ccff38fa13f964c72e3d336666a1..62c0c634280f2d5c95eff337c44fbc5e37028626 100644 (file)
@@ -143,8 +143,15 @@ static int ipmi_powernv_recv(struct ipmi_smi_powernv *smi)
        pr_devel("%s:   -> %d (size %lld)\n", __func__,
                        rc, rc == 0 ? size : 0);
        if (rc) {
+               /* If came via the poll, and response was not yet ready */
+               if (rc == OPAL_EMPTY) {
+                       spin_unlock_irqrestore(&smi->msg_lock, flags);
+                       return 0;
+               }
+
+               smi->cur_msg = NULL;
                spin_unlock_irqrestore(&smi->msg_lock, flags);
-               ipmi_free_smi_msg(msg);
+               send_error_reply(smi, msg, IPMI_ERR_UNSPECIFIED);
                return 0;
        }