security/apparmor/policy_compat.c

   1 // SPDX-License-Identifier: GPL-2.0-only
   2 /*
   3  * AppArmor security module
   4  *
   5  * This file contains AppArmor functions for unpacking policy loaded
   6  * from userspace.
   7  *
   8  * Copyright (C) 1998-2008 Novell/SUSE
   9  * Copyright 2009-2022 Canonical Ltd.
  10  *
  11  * Code to provide backwards compatibility with older policy versions,
  12  * by converting/mapping older policy formats into the newer internal
  13  * formats.
  14  */
  15
  16 #include <linux/ctype.h>
  17 #include <linux/errno.h>
  18
  19 #include "include/lib.h"
  20 #include "include/policy_unpack.h"
  21 #include "include/policy_compat.h"
  22
  23 /* remap old accept table embedded permissions to separate permission table */
  24 static u32 dfa_map_xindex(u16 mask)
  25 {
  26         u16 old_index = (mask >> 10) & 0xf;
  27         u32 index = 0;
  28
  29         if (mask & 0x100)
  30                 index |= AA_X_UNSAFE;
  31         if (mask & 0x200)
  32                 index |= AA_X_INHERIT;
  33         if (mask & 0x80)
  34                 index |= AA_X_UNCONFINED;
  35
  36         if (old_index == 1) {
  37                 index |= AA_X_UNCONFINED;
  38         } else if (old_index == 2) {
  39                 index |= AA_X_NAME;
  40         } else if (old_index == 3) {
  41                 index |= AA_X_NAME | AA_X_CHILD;
  42         } else if (old_index) {
  43                 index |= AA_X_TABLE;
  44                 index |= old_index - 4;
  45         }
  46
  47         return index;
  48 }
  49
  50 /*
  51  * map old dfa inline permissions to new format
  52  */
  53 #define dfa_user_allow(dfa, state) (((ACCEPT_TABLE(dfa)[state]) & 0x7f) | \
  54                                     ((ACCEPT_TABLE(dfa)[state]) & 0x80000000))
  55 #define dfa_user_xbits(dfa, state) (((ACCEPT_TABLE(dfa)[state]) >> 7) & 0x7f)
  56 #define dfa_user_audit(dfa, state) ((ACCEPT_TABLE2(dfa)[state]) & 0x7f)
  57 #define dfa_user_quiet(dfa, state) (((ACCEPT_TABLE2(dfa)[state]) >> 7) & 0x7f)
  58 #define dfa_user_xindex(dfa, state) \
  59         (dfa_map_xindex(ACCEPT_TABLE(dfa)[state] & 0x3fff))
  60
  61 #define dfa_other_allow(dfa, state) ((((ACCEPT_TABLE(dfa)[state]) >> 14) & \
  62                                       0x7f) |                           \
  63                                      ((ACCEPT_TABLE(dfa)[state]) & 0x80000000))
  64 #define dfa_other_xbits(dfa, state) \
  65         ((((ACCEPT_TABLE(dfa)[state]) >> 7) >> 14) & 0x7f)
  66 #define dfa_other_audit(dfa, state) (((ACCEPT_TABLE2(dfa)[state]) >> 14) & 0x7f)
  67 #define dfa_other_quiet(dfa, state) \
  68         ((((ACCEPT_TABLE2(dfa)[state]) >> 7) >> 14) & 0x7f)
  69 #define dfa_other_xindex(dfa, state) \
  70         dfa_map_xindex((ACCEPT_TABLE(dfa)[state] >> 14) & 0x3fff)
  71
  72 /**
  73  * map_old_perms - map old file perms layout to the new layout
  74  * @old: permission set in old mapping
  75  *
  76  * Returns: new permission mapping
  77  */
  78 static u32 map_old_perms(u32 old)
  79 {
  80         u32 new = old & 0xf;
  81
  82         if (old & MAY_READ)
  83                 new |= AA_MAY_GETATTR | AA_MAY_OPEN;
  84         if (old & MAY_WRITE)
  85                 new |= AA_MAY_SETATTR | AA_MAY_CREATE | AA_MAY_DELETE |
  86                        AA_MAY_CHMOD | AA_MAY_CHOWN | AA_MAY_OPEN;
  87         if (old & 0x10)
  88                 new |= AA_MAY_LINK;
  89         /* the old mapping lock and link_subset flags where overlaid
  90          * and use was determined by part of a pair that they were in
  91          */
  92         if (old & 0x20)
  93                 new |= AA_MAY_LOCK | AA_LINK_SUBSET;
  94         if (old & 0x40) /* AA_EXEC_MMAP */
  95                 new |= AA_EXEC_MMAP;
  96
  97         return new;
  98 }
  99
 100 static void compute_fperms_allow(struct aa_perms *perms, struct aa_dfa *dfa,
 101                                  aa_state_t state)
 102 {
 103         perms->allow |= AA_MAY_GETATTR;
 104
 105         /* change_profile wasn't determined by ownership in old mapping */
 106         if (ACCEPT_TABLE(dfa)[state] & 0x80000000)
 107                 perms->allow |= AA_MAY_CHANGE_PROFILE;
 108         if (ACCEPT_TABLE(dfa)[state] & 0x40000000)
 109                 perms->allow |= AA_MAY_ONEXEC;
 110 }
 111
 112 static struct aa_perms compute_fperms_user(struct aa_dfa *dfa,
 113                                            aa_state_t state)
 114 {
 115         struct aa_perms perms = { };
 116
 117         perms.allow = map_old_perms(dfa_user_allow(dfa, state));
 118         perms.audit = map_old_perms(dfa_user_audit(dfa, state));
 119         perms.quiet = map_old_perms(dfa_user_quiet(dfa, state));
 120         perms.xindex = dfa_user_xindex(dfa, state);
 121
 122         compute_fperms_allow(&perms, dfa, state);
 123
 124         return perms;
 125 }
 126
 127 static struct aa_perms compute_fperms_other(struct aa_dfa *dfa,
 128                                             aa_state_t state)
 129 {
 130         struct aa_perms perms = { };
 131
 132         perms.allow = map_old_perms(dfa_other_allow(dfa, state));
 133         perms.audit = map_old_perms(dfa_other_audit(dfa, state));
 134         perms.quiet = map_old_perms(dfa_other_quiet(dfa, state));
 135         perms.xindex = dfa_other_xindex(dfa, state);
 136
 137         compute_fperms_allow(&perms, dfa, state);
 138
 139         return perms;
 140 }
 141
 142 /**
 143  * compute_fperms - convert dfa compressed perms to internal perms and store
 144  *                  them so they can be retrieved later.
 145  * @dfa: a dfa using fperms to remap to internal permissions
 146  *
 147  * Returns: remapped perm table
 148  */
 149 static struct aa_perms *compute_fperms(struct aa_dfa *dfa)
 150 {
 151         aa_state_t state;
 152         unsigned int state_count;
 153         struct aa_perms *table;
 154
 155         AA_BUG(!dfa);
 156
 157         state_count = dfa->tables[YYTD_ID_BASE]->td_lolen;
 158         /* DFAs are restricted from having a state_count of less than 2 */
 159         table = kvcalloc(state_count * 2, sizeof(struct aa_perms), GFP_KERNEL);
 160         if (!table)
 161                 return NULL;
 162
 163         /* zero init so skip the trap state (state == 0) */
 164         for (state = 1; state < state_count; state++) {
 165                 table[state * 2] = compute_fperms_user(dfa, state);
 166                 table[state * 2 + 1] = compute_fperms_other(dfa, state);
 167         }
 168
 169         return table;
 170 }
 171
 172 static struct aa_perms *compute_xmatch_perms(struct aa_dfa *xmatch)
 173 {
 174         struct aa_perms *perms;
 175         int state;
 176         int state_count;
 177
 178         AA_BUG(!xmatch);
 179
 180         state_count = xmatch->tables[YYTD_ID_BASE]->td_lolen;
 181         /* DFAs are restricted from having a state_count of less than 2 */
 182         perms = kvcalloc(state_count, sizeof(struct aa_perms), GFP_KERNEL);
 183         if (!perms)
 184                 return NULL;
 185
 186         /* zero init so skip the trap state (state == 0) */
 187         for (state = 1; state < state_count; state++)
 188                 perms[state].allow = dfa_user_allow(xmatch, state);
 189
 190         return perms;
 191 }
 192
 193 static u32 map_other(u32 x)
 194 {
 195         return ((x & 0x3) << 8) |       /* SETATTR/GETATTR */
 196                 ((x & 0x1c) << 18) |    /* ACCEPT/BIND/LISTEN */
 197                 ((x & 0x60) << 19);     /* SETOPT/GETOPT */
 198 }
 199
 200 static u32 map_xbits(u32 x)
 201 {
 202         return ((x & 0x1) << 7) |
 203                 ((x & 0x7e) << 9);
 204 }
 205
 206 static struct aa_perms compute_perms_entry(struct aa_dfa *dfa,
 207                                            aa_state_t state,
 208                                            u32 version)
 209 {
 210         struct aa_perms perms = { };
 211
 212         perms.allow = dfa_user_allow(dfa, state);
 213         perms.audit = dfa_user_audit(dfa, state);
 214         perms.quiet = dfa_user_quiet(dfa, state);
 215
 216         /*
 217          * This mapping is convulated due to history.
 218          * v1-v4: only file perms, which are handled by compute_fperms
 219          * v5: added policydb which dropped user conditional to gain new
 220          *     perm bits, but had to map around the xbits because the
 221          *     userspace compiler was still munging them.
 222          * v9: adds using the xbits in policydb because the compiler now
 223          *     supports treating policydb permission bits different.
 224          *     Unfortunately there is no way to force auditing on the
 225          *     perms represented by the xbits
 226          */
 227         perms.allow |= map_other(dfa_other_allow(dfa, state));
 228         if (VERSION_LE(version, v8))
 229                 perms.allow |= AA_MAY_LOCK;
 230         else
 231                 perms.allow |= map_xbits(dfa_user_xbits(dfa, state));
 232
 233         /*
 234          * for v5-v9 perm mapping in the policydb, the other set is used
 235          * to extend the general perm set
 236          */
 237         perms.audit |= map_other(dfa_other_audit(dfa, state));
 238         perms.quiet |= map_other(dfa_other_quiet(dfa, state));
 239         if (VERSION_GT(version, v8))
 240                 perms.quiet |= map_xbits(dfa_other_xbits(dfa, state));
 241
 242         return perms;
 243 }
 244
 245 static struct aa_perms *compute_perms(struct aa_dfa *dfa, u32 version)
 246 {
 247         unsigned int state;
 248         unsigned int state_count;
 249         struct aa_perms *table;
 250
 251         AA_BUG(!dfa);
 252
 253         state_count = dfa->tables[YYTD_ID_BASE]->td_lolen;
 254         /* DFAs are restricted from having a state_count of less than 2 */
 255         table = kvcalloc(state_count, sizeof(struct aa_perms), GFP_KERNEL);
 256         if (!table)
 257                 return NULL;
 258
 259         /* zero init so skip the trap state (state == 0) */
 260         for (state = 1; state < state_count; state++)
 261                 table[state] = compute_perms_entry(dfa, state, version);
 262
 263         return table;
 264 }
 265
 266 /**
 267  * remap_dfa_accept - remap old dfa accept table to be an index
 268  * @dfa: dfa to do the remapping on
 269  * @factor: scaling factor for the index conversion.
 270  *
 271  * Used in conjunction with compute_Xperms, it converts old style perms
 272  * that are encoded in the dfa accept tables to the new style where
 273  * there is a permission table and the accept table is an index into
 274  * the permission table.
 275  */
 276 static void remap_dfa_accept(struct aa_dfa *dfa, unsigned int factor)
 277 {
 278         unsigned int state;
 279         unsigned int state_count = dfa->tables[YYTD_ID_BASE]->td_lolen;
 280
 281         AA_BUG(!dfa);
 282
 283         for (state = 0; state < state_count; state++)
 284                 ACCEPT_TABLE(dfa)[state] = state * factor;
 285         kvfree(dfa->tables[YYTD_ID_ACCEPT2]);
 286         dfa->tables[YYTD_ID_ACCEPT2] = NULL;
 287 }
 288
 289 /* TODO: merge different dfa mappings into single map_policy fn */
 290 int aa_compat_map_xmatch(struct aa_policydb *policy)
 291 {
 292         policy->perms = compute_xmatch_perms(policy->dfa);
 293         if (!policy->perms)
 294                 return -ENOMEM;
 295
 296         remap_dfa_accept(policy->dfa, 1);
 297
 298         return 0;
 299 }
 300
 301 int aa_compat_map_policy(struct aa_policydb *policy, u32 version)
 302 {
 303         policy->perms = compute_perms(policy->dfa, version);
 304         if (!policy->perms)
 305                 return -ENOMEM;
 306
 307         remap_dfa_accept(policy->dfa, 1);
 308
 309         return 0;
 310 }
 311
 312 int aa_compat_map_file(struct aa_policydb *policy)
 313 {
 314         policy->perms = compute_fperms(policy->dfa);
 315         if (!policy->perms)
 316                 return -ENOMEM;
 317
 318         remap_dfa_accept(policy->dfa, 2);
 319
 320         return 0;
 321 }