projects / profile / mobile / platform / kernel / linux-3.10-sc7730.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 0dafb60) | patch
pipe: limit the per-user amount of pages allocated in pipes 09/154909/1
authorWilly Tarreau <w@1wt.eu>
Fri, 15 Jul 2016 18:26:27 +0000 (14:26 -0400)
committerSeung-Woo Kim <sw0312.kim@samsung.com>
Wed, 11 Oct 2017 11:04:44 +0000 (20:04 +0900)
commit2565de38bf5b772371d4f55080fd0e81a8bf2da1
treee99a01f79b47de82292c73ef62766d0a19cc60e8tree | snapshot
parent0dafb60f4bab3162366bd2a67a9dfac4adddf65ecommit | diff
pipe: limit the per-user amount of pages allocated in pipes

commit 759c01142a5d0f364a462346168a56de28a80f52 upstream.

On no-so-small systems, it is possible for a single process to cause an
OOM condition by filling large pipes with data that are never read. A
typical process filling 4000 pipes with 1 MB of data will use 4 GB of
memory. On small systems it may be tricky to set the pipe max size to
prevent this from happening.

This patch makes it possible to enforce a per-user soft limit above
which new pipes will be limited to a single page, effectively limiting
them to 4 kB each, as well as a hard limit above which no new pipes may
be created for this user. This has the effect of protecting the system
against memory abuse without hurting other users, and still allowing
pipes to work correctly though with less data at once.

The limit are controlled by two new sysctls : pipe-user-pages-soft, and
pipe-user-pages-hard. Both may be disabled by setting them to zero. The
default soft limit allows the default number of FDs per process (1024)
to create pipes of the default size (64kB), thus reaching a limit of 64MB
before starting to create only smaller pipes. With 256 processes limited
to 1024 FDs each, this results in 1024*64kB + (256*1024 - 1024) * 4kB =
1084 MB of memory allocated for a user. The hard limit is disabled by
default to avoid breaking existing applications that make intensive use
of pipes (eg: for splicing).

CVE-2016-2847

Reported-by: socketpair@gmail.com
Reported-by: Tetsuo Handa <penguin-kernel@I-love.SAKURA.ne.jp>
Mitigates: CVE-2013-4312 (Linux 2.0+)
Suggested-by: Linus Torvalds <torvalds@linux-foundation.org>
Signed-off-by: Willy Tarreau <w@1wt.eu>
Signed-off-by: Al Viro <viro@zeniv.linux.org.uk>
Signed-off-by: Luis Henriques <luis.henriques@canonical.com>
Signed-off-by: Chas Williams <3chas3@gmail.com>
[sw0312.kim: cherry-pick from linux-3.10.y to fix CVE-2016-2847]
Signed-off-by: Seung-Woo Kim <sw0312.kim@samsung.com>
Change-Id: I765e0a532853071916b83d89d8217840193e5dbe
Documentation/sysctl/fs.txt diff | blob | history
fs/pipe.c diff | blob | history
include/linux/pipe_fs_i.h diff | blob | history
include/linux/sched.h diff | blob | history
kernel/sysctl.c diff | blob | history
Domain: System / Kernel;