x86/pti/64: Remove the SYSCALL64 entry trampoline
authorAndy Lutomirski <luto@kernel.org>
Mon, 3 Sep 2018 22:59:44 +0000 (15:59 -0700)
committerThomas Gleixner <tglx@linutronix.de>
Wed, 12 Sep 2018 19:33:53 +0000 (21:33 +0200)
The SYSCALL64 trampoline has a couple of nice properties:

 - The usual sequence of SWAPGS followed by two GS-relative accesses to
   set up RSP is somewhat slow because the GS-relative accesses need
   to wait for SWAPGS to finish.  The trampoline approach allows
   RIP-relative accesses to set up RSP, which avoids the stall.

 - The trampoline avoids any percpu access before CR3 is set up,
   which means that no percpu memory needs to be mapped in the user
   page tables.  This prevents using Meltdown to read any percpu memory
   outside the cpu_entry_area and prevents using timing leaks
   to directly locate the percpu areas.

The downsides of using a trampoline may outweigh the upsides, however.
It adds an extra non-contiguous I$ cache line to system calls, and it
forces an indirect jump to transfer control back to the normal kernel
text after CR3 is set up.  The latter is because x86 lacks a 64-bit
direct jump instruction that could jump from the trampoline to the entry
text.  With retpolines enabled, the indirect jump is extremely slow.

Change the code to map the percpu TSS into the user page tables to allow
the non-trampoline SYSCALL64 path to work under PTI.  This does not add a
new direct information leak, since the TSS is readable by Meltdown from the
cpu_entry_area alias regardless.  It does allow a timing attack to locate
the percpu area, but KASLR is more or less a lost cause against local
attack on CPUs vulnerable to Meltdown regardless.  As far as I'm concerned,
on current hardware, KASLR is only useful to mitigate remote attacks that
try to attack the kernel without first gaining RCE against a vulnerable
user process.

On Skylake, with CONFIG_RETPOLINE=y and KPTI on, this reduces syscall
overhead from ~237ns to ~228ns.

There is a possible alternative approach: Move the trampoline within 2G of
the entry text and make a separate copy for each CPU.  This would allow a
direct jump to rejoin the normal entry path. There are pro's and con's for
this approach:

 + It avoids a pipeline stall

 - It executes from an extra page and read from another extra page during
   the syscall. The latter is because it needs to use a relative
   addressing mode to find sp1 -- it's the same *cacheline*, but accessed
   using an alias, so it's an extra TLB entry.

 - Slightly more memory. This would be one page per CPU for a simple
   implementation and 64-ish bytes per CPU or one page per node for a more
   complex implementation.

 - More code complexity.

The current approach is chosen for simplicity and because the alternative
does not provide a significant benefit, which makes it worth.

[ tglx: Added the alternative discussion to the changelog ]

Signed-off-by: Andy Lutomirski <luto@kernel.org>
Signed-off-by: Thomas Gleixner <tglx@linutronix.de>
Reviewed-by: Borislav Petkov <bp@suse.de>
Cc: Borislav Petkov <bp@alien8.de>
Cc: Dave Hansen <dave.hansen@linux.intel.com>
Cc: Adrian Hunter <adrian.hunter@intel.com>
Cc: Alexander Shishkin <alexander.shishkin@linux.intel.com>
Cc: Arnaldo Carvalho de Melo <acme@kernel.org>
Cc: Linus Torvalds <torvalds@linux-foundation.org>
Cc: Josh Poimboeuf <jpoimboe@redhat.com>
Cc: Joerg Roedel <joro@8bytes.org>
Cc: Jiri Olsa <jolsa@redhat.com>
Cc: Andi Kleen <ak@linux.intel.com>
Cc: Peter Zijlstra <peterz@infradead.org>
Link: https://lkml.kernel.org/r/8c7c6e483612c3e4e10ca89495dc160b1aa66878.1536015544.git.luto@kernel.org
arch/x86/entry/entry_64.S
arch/x86/include/asm/cpu_entry_area.h
arch/x86/include/asm/sections.h
arch/x86/kernel/asm-offsets.c
arch/x86/kernel/cpu/common.c
arch/x86/kernel/kprobes/core.c
arch/x86/kernel/vmlinux.lds.S
arch/x86/mm/cpu_entry_area.c
arch/x86/mm/pti.c

index 7e82e553183aeb79f2e3e0d12c6fca4b1a763ec2..0d728142467fda9431f6c83afadc770d2dbed584 100644 (file)
@@ -142,67 +142,6 @@ END(native_usergs_sysret64)
  * with them due to bugs in both AMD and Intel CPUs.
  */
 
-       .pushsection .entry_trampoline, "ax"
-
-/*
- * The code in here gets remapped into cpu_entry_area's trampoline.  This means
- * that the assembler and linker have the wrong idea as to where this code
- * lives (and, in fact, it's mapped more than once, so it's not even at a
- * fixed address).  So we can't reference any symbols outside the entry
- * trampoline and expect it to work.
- *
- * Instead, we carefully abuse %rip-relative addressing.
- * _entry_trampoline(%rip) refers to the start of the remapped) entry
- * trampoline.  We can thus find cpu_entry_area with this macro:
- */
-
-#define CPU_ENTRY_AREA \
-       _entry_trampoline - CPU_ENTRY_AREA_entry_trampoline(%rip)
-
-/* The top word of the SYSENTER stack is hot and is usable as scratch space. */
-#define RSP_SCRATCH    CPU_ENTRY_AREA_entry_stack + \
-                       SIZEOF_entry_stack - 8 + CPU_ENTRY_AREA
-
-ENTRY(entry_SYSCALL_64_trampoline)
-       UNWIND_HINT_EMPTY
-       swapgs
-
-       /* Stash the user RSP. */
-       movq    %rsp, RSP_SCRATCH
-
-       /* Note: using %rsp as a scratch reg. */
-       SWITCH_TO_KERNEL_CR3 scratch_reg=%rsp
-
-       /* Load the top of the task stack into RSP */
-       movq    CPU_ENTRY_AREA_tss + TSS_sp1 + CPU_ENTRY_AREA, %rsp
-
-       /* Start building the simulated IRET frame. */
-       pushq   $__USER_DS                      /* pt_regs->ss */
-       pushq   RSP_SCRATCH                     /* pt_regs->sp */
-       pushq   %r11                            /* pt_regs->flags */
-       pushq   $__USER_CS                      /* pt_regs->cs */
-       pushq   %rcx                            /* pt_regs->ip */
-
-       /*
-        * x86 lacks a near absolute jump, and we can't jump to the real
-        * entry text with a relative jump.  We could push the target
-        * address and then use retq, but this destroys the pipeline on
-        * many CPUs (wasting over 20 cycles on Sandy Bridge).  Instead,
-        * spill RDI and restore it in a second-stage trampoline.
-        */
-       pushq   %rdi
-       movq    $entry_SYSCALL_64_stage2, %rdi
-       JMP_NOSPEC %rdi
-END(entry_SYSCALL_64_trampoline)
-
-       .popsection
-
-ENTRY(entry_SYSCALL_64_stage2)
-       UNWIND_HINT_EMPTY
-       popq    %rdi
-       jmp     entry_SYSCALL_64_after_hwframe
-END(entry_SYSCALL_64_stage2)
-
 ENTRY(entry_SYSCALL_64)
        UNWIND_HINT_EMPTY
        /*
@@ -212,13 +151,9 @@ ENTRY(entry_SYSCALL_64)
         */
 
        swapgs
-       /*
-        * This path is only taken when PAGE_TABLE_ISOLATION is disabled so it
-        * is not required to switch CR3.
-        *
-        * tss.sp2 is scratch space.
-        */
+       /* tss.sp2 is scratch space. */
        movq    %rsp, PER_CPU_VAR(cpu_tss_rw + TSS_sp2)
+       SWITCH_TO_KERNEL_CR3 scratch_reg=%rsp
        movq    PER_CPU_VAR(cpu_current_top_of_stack), %rsp
 
        /* Construct struct pt_regs on stack */
index 4a7884b8dca55bc58f077a90ad93d6398bddd053..29c70641544355ffb9b6947db066951311b868b3 100644 (file)
@@ -30,8 +30,6 @@ struct cpu_entry_area {
         */
        struct tss_struct tss;
 
-       char entry_trampoline[PAGE_SIZE];
-
 #ifdef CONFIG_X86_64
        /*
         * Exception stacks used for IST entries.
index 4a911a382adedfdcd332b8b4884db6ff06e10533..8ea1cfdbeabc1d2be344e98952ab92f752738335 100644 (file)
@@ -11,7 +11,6 @@ extern char __end_rodata_aligned[];
 
 #if defined(CONFIG_X86_64)
 extern char __end_rodata_hpage_align[];
-extern char __entry_trampoline_start[], __entry_trampoline_end[];
 #endif
 
 #endif /* _ASM_X86_SECTIONS_H */
index fc2e90d3429a6eb8605453a52c951651f96b4c14..083c01309027e37e061cbee024b030c4ca554874 100644 (file)
@@ -99,8 +99,6 @@ void common(void) {
        OFFSET(TLB_STATE_user_pcid_flush_mask, tlb_state, user_pcid_flush_mask);
 
        /* Layout info for cpu_entry_area */
-       OFFSET(CPU_ENTRY_AREA_tss, cpu_entry_area, tss);
-       OFFSET(CPU_ENTRY_AREA_entry_trampoline, cpu_entry_area, entry_trampoline);
        OFFSET(CPU_ENTRY_AREA_entry_stack, cpu_entry_area, entry_stack_page);
        DEFINE(SIZEOF_entry_stack, sizeof(struct entry_stack));
        DEFINE(MASK_entry_stack, (~(sizeof(struct entry_stack) - 1)));
index 44c4ef3d989b59b7bd98ebf617f8e5ee1d2a9548..2d5b1fa5f9c6686b0ff0e08e180425f05a08d736 100644 (file)
@@ -1531,19 +1531,10 @@ EXPORT_PER_CPU_SYMBOL(__preempt_count);
 /* May not be marked __init: used by software suspend */
 void syscall_init(void)
 {
-       extern char _entry_trampoline[];
-       extern char entry_SYSCALL_64_trampoline[];
-
-       int cpu = smp_processor_id();
-       unsigned long SYSCALL64_entry_trampoline =
-               (unsigned long)get_cpu_entry_area(cpu)->entry_trampoline +
-               (entry_SYSCALL_64_trampoline - _entry_trampoline);
+       int __maybe_unused cpu = smp_processor_id();
 
        wrmsr(MSR_STAR, 0, (__USER32_CS << 16) | __KERNEL_CS);
-       if (static_cpu_has(X86_FEATURE_PTI))
-               wrmsrl(MSR_LSTAR, SYSCALL64_entry_trampoline);
-       else
-               wrmsrl(MSR_LSTAR, (unsigned long)entry_SYSCALL_64);
+       wrmsrl(MSR_LSTAR, (unsigned long)entry_SYSCALL_64);
 
 #ifdef CONFIG_IA32_EMULATION
        wrmsrl(MSR_CSTAR, (unsigned long)entry_SYSCALL_compat);
index b0d1e81c96bbe297c2b0d573673a40bfb9cf3a99..f802cf5b447885ca4636727c40c2f78784c832b6 100644 (file)
@@ -1066,18 +1066,10 @@ NOKPROBE_SYMBOL(kprobe_exceptions_notify);
 
 bool arch_within_kprobe_blacklist(unsigned long addr)
 {
-       bool is_in_entry_trampoline_section = false;
-
-#ifdef CONFIG_X86_64
-       is_in_entry_trampoline_section =
-               (addr >= (unsigned long)__entry_trampoline_start &&
-                addr < (unsigned long)__entry_trampoline_end);
-#endif
        return  (addr >= (unsigned long)__kprobes_text_start &&
                 addr < (unsigned long)__kprobes_text_end) ||
                (addr >= (unsigned long)__entry_text_start &&
-                addr < (unsigned long)__entry_text_end) ||
-               is_in_entry_trampoline_section;
+                addr < (unsigned long)__entry_text_end);
 }
 
 int __init arch_init_kprobes(void)
index 8bde0a419f8689620db0a34cc9df0eaa135132c6..9c77d2df9c2725399ee65c5947535c72164a4349 100644 (file)
@@ -118,16 +118,6 @@ SECTIONS
                *(.fixup)
                *(.gnu.warning)
 
-#ifdef CONFIG_X86_64
-               . = ALIGN(PAGE_SIZE);
-               __entry_trampoline_start = .;
-               _entry_trampoline = .;
-               *(.entry_trampoline)
-               . = ALIGN(PAGE_SIZE);
-               __entry_trampoline_end = .;
-               ASSERT(. - _entry_trampoline == PAGE_SIZE, "entry trampoline is too big");
-#endif
-
 #ifdef CONFIG_RETPOLINE
                __indirect_thunk_start = .;
                *(.text.__x86.indirect_thunk)
index 076ebdce9bd4307945bf9d1ecfc54476686663fc..12d7e7fb4efdf361278fad6a5fca8c8e3f2ee850 100644 (file)
@@ -15,7 +15,6 @@ static DEFINE_PER_CPU_PAGE_ALIGNED(struct entry_stack_page, entry_stack_storage)
 #ifdef CONFIG_X86_64
 static DEFINE_PER_CPU_PAGE_ALIGNED(char, exception_stacks
        [(N_EXCEPTION_STACKS - 1) * EXCEPTION_STKSZ + DEBUG_STKSZ]);
-static DEFINE_PER_CPU(struct kcore_list, kcore_entry_trampoline);
 #endif
 
 struct cpu_entry_area *get_cpu_entry_area(int cpu)
@@ -83,8 +82,6 @@ static void percpu_setup_debug_store(int cpu)
 static void __init setup_cpu_entry_area(int cpu)
 {
 #ifdef CONFIG_X86_64
-       extern char _entry_trampoline[];
-
        /* On 64-bit systems, we use a read-only fixmap GDT and TSS. */
        pgprot_t gdt_prot = PAGE_KERNEL_RO;
        pgprot_t tss_prot = PAGE_KERNEL_RO;
@@ -146,43 +143,10 @@ static void __init setup_cpu_entry_area(int cpu)
        cea_map_percpu_pages(&get_cpu_entry_area(cpu)->exception_stacks,
                             &per_cpu(exception_stacks, cpu),
                             sizeof(exception_stacks) / PAGE_SIZE, PAGE_KERNEL);
-
-       cea_set_pte(&get_cpu_entry_area(cpu)->entry_trampoline,
-                    __pa_symbol(_entry_trampoline), PAGE_KERNEL_RX);
-       /*
-        * The cpu_entry_area alias addresses are not in the kernel binary
-        * so they do not show up in /proc/kcore normally.  This adds entries
-        * for them manually.
-        */
-       kclist_add_remap(&per_cpu(kcore_entry_trampoline, cpu),
-                        _entry_trampoline,
-                        &get_cpu_entry_area(cpu)->entry_trampoline, PAGE_SIZE);
 #endif
        percpu_setup_debug_store(cpu);
 }
 
-#ifdef CONFIG_X86_64
-int arch_get_kallsym(unsigned int symnum, unsigned long *value, char *type,
-                    char *name)
-{
-       unsigned int cpu, ncpu = 0;
-
-       if (symnum >= num_possible_cpus())
-               return -EINVAL;
-
-       for_each_possible_cpu(cpu) {
-               if (ncpu++ >= symnum)
-                       break;
-       }
-
-       *value = (unsigned long)&get_cpu_entry_area(cpu)->entry_trampoline;
-       *type = 't';
-       strlcpy(name, "__entry_SYSCALL_64_trampoline", KSYM_NAME_LEN);
-
-       return 0;
-}
-#endif
-
 static __init void setup_cpu_entry_area_ptes(void)
 {
 #ifdef CONFIG_X86_32
index c1fc1ae6b42947a9f6dece93efce6e4f843b7def..4fee5c3003ed78ab9566fe92f09e0d14968c9865 100644 (file)
@@ -434,11 +434,42 @@ static void __init pti_clone_p4d(unsigned long addr)
 }
 
 /*
- * Clone the CPU_ENTRY_AREA into the user space visible page table.
+ * Clone the CPU_ENTRY_AREA and associated data into the user space visible
+ * page table.
  */
 static void __init pti_clone_user_shared(void)
 {
+       unsigned int cpu;
+
        pti_clone_p4d(CPU_ENTRY_AREA_BASE);
+
+       for_each_possible_cpu(cpu) {
+               /*
+                * The SYSCALL64 entry code needs to be able to find the
+                * thread stack and needs one word of scratch space in which
+                * to spill a register.  All of this lives in the TSS, in
+                * the sp1 and sp2 slots.
+                *
+                * This is done for all possible CPUs during boot to ensure
+                * that it's propagated to all mms.  If we were to add one of
+                * these mappings during CPU hotplug, we would need to take
+                * some measure to make sure that every mm that subsequently
+                * ran on that CPU would have the relevant PGD entry in its
+                * pagetables.  The usual vmalloc_fault() mechanism would not
+                * work for page faults taken in entry_SYSCALL_64 before RSP
+                * is set up.
+                */
+
+               unsigned long va = (unsigned long)&per_cpu(cpu_tss_rw, cpu);
+               phys_addr_t pa = per_cpu_ptr_to_phys((void *)va);
+               pte_t *target_pte;
+
+               target_pte = pti_user_pagetable_walk_pte(va);
+               if (WARN_ON(!target_pte))
+                       return;
+
+               *target_pte = pfn_pte(pa >> PAGE_SHIFT, PAGE_KERNEL);
+       }
 }
 
 #else /* CONFIG_X86_64 */