TPM: get_event_name stack corruption
authorEric Paris <eparis@redhat.com>
Wed, 13 May 2009 16:50:40 +0000 (12:50 -0400)
committerJames Morris <jmorris@namei.org>
Tue, 19 May 2009 22:30:05 +0000 (08:30 +1000)
get_event_name uses sprintf to fill a buffer declared on the stack.  It fills
the buffer 2 bytes at a time.  What the code doesn't take into account is that
sprintf(buf, "%02x", data) actually writes 3 bytes.  2 bytes for the data and
then it nul terminates the string.  Since we declare buf to be 40 characters
long and then we write 40 bytes of data into buf sprintf is going to write 41
characters.  The fix is to leave room in buf for the nul terminator.

Signed-off-by: Eric Paris <eparis@redhat.com>
Signed-off-by: James Morris <jmorris@namei.org>
drivers/char/tpm/tpm_bios.c

index ed306eb1057fde9a7b0c66e093fa8d91464eba4d..0c2f55a38b954d56a1eba026e8b9c65718af1286 100644 (file)
@@ -212,7 +212,8 @@ static int get_event_name(char *dest, struct tcpa_event *event,
                        unsigned char * event_entry)
 {
        const char *name = "";
-       char data[40] = "";
+       /* 41 so there is room for 40 data and 1 nul */
+       char data[41] = "";
        int i, n_len = 0, d_len = 0;
        struct tcpa_pc_event *pc_event;