crypto: sha512-mb - initialize pending lengths correctly
authorEric Biggers <ebiggers@google.com>
Wed, 24 Jan 2018 08:31:27 +0000 (00:31 -0800)
committerHerbert Xu <herbert@gondor.apana.org.au>
Thu, 8 Feb 2018 11:37:05 +0000 (22:37 +1100)
commiteff84b379089cd8b4e83599639c1f5f6e34ef7bf
treee217b62e4b3cf4db367831324ca4a738d7456933
parent2d55807b7f7bf62bb05a8b91247c5eb7cd19ac04
crypto: sha512-mb - initialize pending lengths correctly

The SHA-512 multibuffer code keeps track of the number of blocks pending
in each lane.  The minimum of these values is used to identify the next
lane that will be completed.  Unused lanes are set to a large number
(0xFFFFFFFF) so that they don't affect this calculation.

However, it was forgotten to set the lengths to this value in the
initial state, where all lanes are unused.  As a result it was possible
for sha512_mb_mgr_get_comp_job_avx2() to select an unused lane, causing
a NULL pointer dereference.  Specifically this could happen in the case
where ->update() was passed fewer than SHA512_BLOCK_SIZE bytes of data,
so it then called sha_complete_job() without having actually submitted
any blocks to the multi-buffer code.  This hit a NULL pointer
dereference if another task happened to have submitted blocks
concurrently to the same CPU and the flush timer had not yet expired.

Fix this by initializing sha512_mb_mgr->lens correctly.

As usual, this bug was found by syzkaller.

Fixes: 45691e2d9b18 ("crypto: sha512-mb - submit/flush routines for AVX2")
Reported-by: syzbot <syzkaller@googlegroups.com>
Cc: <stable@vger.kernel.org> # v4.8+
Signed-off-by: Eric Biggers <ebiggers@google.com>
Signed-off-by: Herbert Xu <herbert@gondor.apana.org.au>
arch/x86/crypto/sha512-mb/sha512_mb_mgr_init_avx2.c