ipv6: fix crash on ICMPv6 redirects with prohibited/blackholed source
authorMatthias Schiffer <mschiffer@universe-factory.net>
Mon, 2 Nov 2015 00:24:38 +0000 (01:24 +0100)
committerDavid S. Miller <davem@davemloft.net>
Mon, 2 Nov 2015 21:30:15 +0000 (16:30 -0500)
There are other error values besides ip6_null_entry that can be returned by
ip6_route_redirect(): fib6_rule_action() can also result in
ip6_blk_hole_entry and ip6_prohibit_entry if such ip rules are installed.

Only checking for ip6_null_entry in rt6_do_redirect() causes ip6_ins_rt()
to be called with rt->rt6i_table == NULL in these cases, making the kernel
crash.

Signed-off-by: Matthias Schiffer <mschiffer@universe-factory.net>
Signed-off-by: David S. Miller <davem@davemloft.net>
net/ipv6/route.c

index 946880ad48acda725eb66f9e2d0a8fd0f2b4ec40..cc88a73b9ce076c5951d296a25471930d6e0079b 100644 (file)
@@ -2099,7 +2099,6 @@ static int ip6_route_del(struct fib6_config *cfg)
 
 static void rt6_do_redirect(struct dst_entry *dst, struct sock *sk, struct sk_buff *skb)
 {
-       struct net *net = dev_net(skb->dev);
        struct netevent_redirect netevent;
        struct rt6_info *rt, *nrt = NULL;
        struct ndisc_options ndopts;
@@ -2160,7 +2159,7 @@ static void rt6_do_redirect(struct dst_entry *dst, struct sock *sk, struct sk_bu
        }
 
        rt = (struct rt6_info *) dst;
-       if (rt == net->ipv6.ip6_null_entry) {
+       if (rt->rt6i_flags & RTF_REJECT) {
                net_dbg_ratelimited("rt6_redirect: source isn't a valid nexthop for redirect target\n");
                return;
        }