]> git.ipfire.org Git - thirdparty/linux.git/commitdiff
net: thunderbolt: Fix frags[] overflow by bounding frame_count
authorMaoyi Xie <maoyixie.tju@gmail.com>
Tue, 16 Jun 2026 17:38:41 +0000 (01:38 +0800)
committerJakub Kicinski <kuba@kernel.org>
Fri, 19 Jun 2026 01:09:36 +0000 (18:09 -0700)
tbnet_poll() assembles a multi-frame ThunderboltIP packet into one skb. The
first frame goes into the skb linear area and every further frame is added as
a page fragment.

skb_add_rx_frag(skb, skb_shinfo(skb)->nr_frags,
page, hdr_size, frame_size,
TBNET_RX_PAGE_SIZE - hdr_size);

A packet of frame_count frames therefore ends up with frame_count - 1
fragments. tbnet_check_frame() only bounds the peer supplied frame_count to
TBNET_RING_SIZE / 4 (64), which is far above MAX_SKB_FRAGS (17 by default). A
peer that sends a packet of 19 or more small frames pushes nr_frags past
MAX_SKB_FRAGS, so skb_add_rx_frag() writes past skb_shinfo()->frags[] and
corrupts memory after the shared info.

Tighten the start of packet bound to MAX_SKB_FRAGS + 1 so a packet can never
produce more fragments than frags[] can hold. This matches the recent skb
frags overflow fixes in other receive paths, for example f0813bcd2d9d ("net:
wwan: t7xx: fix potential skb->frags overflow in RX path") and 600dc40554dc
("net: usb: cdc-phonet: fix skb frags[] overflow in rx_complete()").

Fixes: e69b6c02b4c3 ("net: Add support for networking over Thunderbolt cable")
Cc: stable@vger.kernel.org
Signed-off-by: Maoyi Xie <maoyixie.tju@gmail.com>
Acked-by: Mika Westerberg <mika.westerberg@linux.intel.com>
Link: https://patch.msgid.link/178163152194.2486768.14724194232649760778@maoyixie.com
Signed-off-by: Jakub Kicinski <kuba@kernel.org>
drivers/net/thunderbolt/main.c

index 7aae5d915a1ebc1c6ef6f686df3514cab796c009..ac016890646cfa0540cd056e344e8a542313669a 100644 (file)
@@ -787,8 +787,12 @@ static bool tbnet_check_frame(struct tbnet *net, const struct tbnet_frame *tf,
                return true;
        }
 
-       /* Start of packet, validate the frame header */
-       if (frame_count == 0 || frame_count > TBNET_RING_SIZE / 4) {
+       /* Start of packet, validate the frame header. tbnet_poll() puts the
+        * first frame in the skb linear area and every further frame in a page
+        * fragment, so a packet may not span more than MAX_SKB_FRAGS + 1 frames
+        * without overflowing skb_shinfo()->frags[].
+        */
+       if (frame_count == 0 || frame_count > MAX_SKB_FRAGS + 1) {
                net->stats.rx_length_errors++;
                return false;
        }