USB: core: Limit the length of unkillable synchronous timeouts

author Alan Stern <stern@rowland.harvard.edu>

Wed, 18 Feb 2026 03:10:32 +0000 (22:10 -0500)

committer Greg Kroah-Hartman <gregkh@linuxfoundation.org>

Wed, 11 Mar 2026 15:16:56 +0000 (16:16 +0100)
author Alan Stern <stern@rowland.harvard.edu>
Wed, 18 Feb 2026 03:10:32 +0000 (22:10 -0500)
committer Greg Kroah-Hartman <gregkh@linuxfoundation.org>
Wed, 11 Mar 2026 15:16:56 +0000 (16:16 +0100)
diff --git a/drivers/usb/core/message.c b/drivers/usb/core/message.c

index d97ec7e8c280b2879b1b6d5f138bdb49cf6a34a9..2ab120ce2fa85e7c7efedbc8e33db722ed0c5dd0 100644 (file)
--- a/drivers/usb/core/message.c
+++ b/drivers/usb/core/message.c
@@ -45,6 +45,8 @@ static void usb_api_blocking_completion(struct urb *urb)
   * Starts urb and waits for completion or timeout.
   * Whether or not the wait is killable depends on the flag passed in.
   * For example, compare usb_bulk_msg() and usb_bulk_msg_killable().
+ *
+ * For non-killable waits, we enforce a maximum limit on the timeout value.
   */
  static int usb_start_wait_urb(struct urb *urb, int timeout, int *actual_length,
                 bool killable)
@@ -61,7 +63,9 @@ static int usb_start_wait_urb(struct urb *urb, int timeout, int *actual_length,
         if (unlikely(retval))
                 goto out;
  
-       expire = timeout ? msecs_to_jiffies(timeout) : MAX_SCHEDULE_TIMEOUT;
+       if (!killable && (timeout <= 0 || timeout > USB_MAX_SYNCHRONOUS_TIMEOUT))
+               timeout = USB_MAX_SYNCHRONOUS_TIMEOUT;
+       expire = (timeout > 0) ? msecs_to_jiffies(timeout) : MAX_SCHEDULE_TIMEOUT;
         if (killable)
                 rc = wait_for_completion_killable_timeout(&ctx.done, expire);
         else
@@ -127,8 +131,7 @@ static int usb_internal_control_msg(struct usb_device *usb_dev,
   * @index: USB message index value
   * @data: pointer to the data to send
   * @size: length in bytes of the data to send
- * @timeout: time in msecs to wait for the message to complete before timing
- *     out (if 0 the wait is forever)
+ * @timeout: time in msecs to wait for the message to complete before timing out
   *
   * Context: task context, might sleep.
   *
@@ -183,8 +186,7 @@ EXPORT_SYMBOL_GPL(usb_control_msg);
   * @index: USB message index value
   * @driver_data: pointer to the data to send
   * @size: length in bytes of the data to send
- * @timeout: time in msecs to wait for the message to complete before timing
- *     out (if 0 the wait is forever)
+ * @timeout: time in msecs to wait for the message to complete before timing out
   * @memflags: the flags for memory allocation for buffers
   *
   * Context: !in_interrupt ()
@@ -242,8 +244,7 @@ EXPORT_SYMBOL_GPL(usb_control_msg_send);
   * @index: USB message index value
   * @driver_data: pointer to the data to be filled in by the message
   * @size: length in bytes of the data to be received
- * @timeout: time in msecs to wait for the message to complete before timing
- *     out (if 0 the wait is forever)
+ * @timeout: time in msecs to wait for the message to complete before timing out
   * @memflags: the flags for memory allocation for buffers
   *
   * Context: !in_interrupt ()
@@ -314,8 +315,7 @@ EXPORT_SYMBOL_GPL(usb_control_msg_recv);
   * @len: length in bytes of the data to send
   * @actual_length: pointer to a location to put the actual length transferred
   *     in bytes
- * @timeout: time in msecs to wait for the message to complete before
- *     timing out (if 0 the wait is forever)
+ * @timeout: time in msecs to wait for the message to complete before timing out
   *
   * Context: task context, might sleep.
   *
@@ -347,8 +347,7 @@ EXPORT_SYMBOL_GPL(usb_interrupt_msg);
   * @len: length in bytes of the data to send
   * @actual_length: pointer to a location to put the actual length transferred
   *     in bytes
- * @timeout: time in msecs to wait for the message to complete before
- *     timing out (if 0 the wait is forever)
+ * @timeout: time in msecs to wait for the message to complete before timing out
   *
   * Context: task context, might sleep.
   *
@@ -408,12 +407,12 @@ EXPORT_SYMBOL_GPL(usb_bulk_msg);
   * @actual_length: pointer to a location to put the actual length transferred
   *     in bytes
   * @timeout: time in msecs to wait for the message to complete before
- *     timing out (if 0 the wait is forever)
+ *     timing out (if <= 0, the wait is as long as possible)
   *
   * Context: task context, might sleep.
   *
- * This function is just like usb_blk_msg() except that it waits in a
- * killable state.
+ * This function is just like usb_blk_msg(), except that it waits in a
+ * killable state and there is no limit on the timeout length.
   *
   * Return:
   * If successful, 0. Otherwise a negative error number. The number of actual
diff --git a/include/linux/usb.h b/include/linux/usb.h

index 57ceeb02a7cbfea3df6f1624aa66bb9786535a7d..04277af4bb9d56323fef7a6b8794bd2f0f2ef75e 100644 (file)
--- a/include/linux/usb.h
+++ b/include/linux/usb.h
@@ -1862,6 +1862,9 @@ void usb_free_noncoherent(struct usb_device *dev, size_t size,
   *                         SYNCHRONOUS CALL SUPPORT                  *
   *-------------------------------------------------------------------*/
  
+/* Maximum value allowed for timeout in synchronous routines below */
+#define USB_MAX_SYNCHRONOUS_TIMEOUT            60000   /* ms */
+
  extern int usb_control_msg(struct usb_device *dev, unsigned int pipe,
         __u8 request, __u8 requesttype, __u16 value, __u16 index,
         void *data, __u16 size, int timeout);
author	Alan Stern <stern@rowland.harvard.edu>
	Wed, 18 Feb 2026 03:10:32 +0000 (22:10 -0500)
committer	Greg Kroah-Hartman <gregkh@linuxfoundation.org>
	Wed, 11 Mar 2026 15:16:56 +0000 (16:16 +0100)
drivers/usb/core/message.c		patch \| blob \| blame \| history
include/linux/usb.h		patch \| blob \| blame \| history