x86/mce: Fixup exception only for the correct MCEs
authorBorislav Petkov <bp@suse.de>
Tue, 7 Apr 2020 11:49:58 +0000 (13:49 +0200)
committerBorislav Petkov <bp@suse.de>
Tue, 14 Apr 2020 14:01:49 +0000 (16:01 +0200)
The severity grading code returns IN_KERNEL_RECOV error context for
errors which have happened in kernel space but from which the kernel can
recover. Whether the recovery can happen is determined by the exception
table entry having as handler ex_handler_fault() and which has been
declared at build time using _ASM_EXTABLE_FAULT().

IN_KERNEL_RECOV is used in mce_severity_intel() to lookup the
corresponding error severity in the severities table.

However, the mapping back from error severity to whether the error is
IN_KERNEL_RECOV is ambiguous and in the very paranoid case - which
might not be possible right now - but be better safe than sorry later,
an exception fixup could be attempted for another MCE whose address
is in the exception table and has the proper severity. Which would be
unfortunate, to say the least.

Therefore, mark such MCEs explicitly as MCE_IN_KERNEL_RECOV so that the
recovery attempt is done only for them.

Document the whole handling, while at it, as it is not trivial.

Reported-by: Thomas Gleixner <tglx@linutronix.de>
Signed-off-by: Borislav Petkov <bp@suse.de>
Tested-by: Tony Luck <tony.luck@intel.com>
Link: https://lkml.kernel.org/r/20200407163414.18058-10-bp@alien8.de
arch/x86/include/asm/mce.h
arch/x86/kernel/cpu/mce/core.c
arch/x86/kernel/cpu/mce/severity.c

index 5f04a24f30eaa9829bda238555e187848638f664..c598aaab071b269bfc8a5f925f9f3a3cf6fe68a1 100644 (file)
 #define        MCE_HANDLED_NFIT        BIT_ULL(3)
 #define        MCE_HANDLED_EDAC        BIT_ULL(4)
 #define        MCE_HANDLED_MCELOG      BIT_ULL(5)
+#define MCE_IN_KERNEL_RECOV    BIT_ULL(6)
 
 /*
  * This structure contains all data related to the MCE log.  Also
index 4efe6c128887808fee5c3b438df97e9798b280c7..02e1f165f14838afeab219155fec901da26b56be 100644 (file)
@@ -1331,8 +1331,19 @@ void notrace do_machine_check(struct pt_regs *regs, long error_code)
                local_irq_disable();
                ist_end_non_atomic();
        } else {
-               if (!fixup_exception(regs, X86_TRAP_MC, error_code, 0))
-                       mce_panic("Failed kernel mode recovery", &m, msg);
+               /*
+                * Handle an MCE which has happened in kernel space but from
+                * which the kernel can recover: ex_has_fault_handler() has
+                * already verified that the rIP at which the error happened is
+                * a rIP from which the kernel can recover (by jumping to
+                * recovery code specified in _ASM_EXTABLE_FAULT()) and the
+                * corresponding exception handler which would do that is the
+                * proper one.
+                */
+               if (m.kflags & MCE_IN_KERNEL_RECOV) {
+                       if (!fixup_exception(regs, X86_TRAP_MC, error_code, 0))
+                               mce_panic("Failed kernel mode recovery", &m, msg);
+               }
        }
 
 out_ist:
index 87bcdc6dc2f0c54048447faac2f53e5d4aa1733e..e1da619add19215a5b1413805ce4fd534af56713 100644 (file)
@@ -213,8 +213,12 @@ static int error_context(struct mce *m)
 {
        if ((m->cs & 3) == 3)
                return IN_USER;
-       if (mc_recoverable(m->mcgstatus) && ex_has_fault_handler(m->ip))
+
+       if (mc_recoverable(m->mcgstatus) && ex_has_fault_handler(m->ip)) {
+               m->kflags |= MCE_IN_KERNEL_RECOV;
                return IN_KERNEL_RECOV;
+       }
+
        return IN_KERNEL;
 }