Fix pktcdvd ioctl dev_minor range check
authorDan Rosenberg <drosenberg@vsecurity.com>
Mon, 27 Sep 2010 16:30:28 +0000 (12:30 -0400)
committerLinus Torvalds <torvalds@linux-foundation.org>
Mon, 27 Sep 2010 23:29:06 +0000 (16:29 -0700)
commit252a52aa4fa22a668f019e55b3aac3ff71ec1c29
tree93e0def0cef2ba85c203f2c20b86cda4b6190843
parent95929eff2cb01e9858779283795f4e3943ee020d
Fix pktcdvd ioctl dev_minor range check

The PKT_CTRL_CMD_STATUS device ioctl retrieves a pointer to a
pktcdvd_device from the global pkt_devs array.  The index into this
array is provided directly by the user and is a signed integer, so the
comparison to ensure that it falls within the bounds of this array will
fail when provided with a negative index.

This can be used to read arbitrary kernel memory or cause a crash due to
an invalid pointer dereference.  This can be exploited by users with
permission to open /dev/pktcdvd/control (on many distributions, this is
readable by group "cdrom").

Signed-off-by: Dan Rosenberg <dan.j.rosenberg@gmail.com>
[ Rather than add a cast, just make the function take the right type -Linus ]
Signed-off-by: Linus Torvalds <torvalds@linux-foundation.org>
drivers/block/pktcdvd.c