]> git.ipfire.org Git - thirdparty/mdadm.git/commit
projects / thirdparty / mdadm.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: dacce2a) | patch
mdmon: imsm: fix metadata corruption when managing new array
authorJunxiao Bi <junxiao.bi@oracle.com>
Tue, 18 Feb 2025 18:48:31 +0000 (10:48 -0800)
committerMariusz Tkaczyk <mtkaczyk@kernel.org>
Mon, 3 Mar 2025 14:15:26 +0000 (15:15 +0100)
commit7d29b3823c18a24d6efbb502f08638788f97e04b
tree3f8035ddb3b4d1fa6bada95584305dbb5a21b543tree
parentdacce2a0009f3506a5accf91f8fa9956eb36218ecommit | diff
mdmon: imsm: fix metadata corruption when managing new array

When manager thread detects new array, it will invoke manage_new().
For imsm array, it will further invoke imsm_open_new(). Since
commit bbab0940fa75("imsm: write bad block log on metadata sync"),
it preallocates bad block log when opening the array, that requires
increasing the mpb buffer size.
For that, imsm_open_new() invokes function imsm_update_metadata_locally(),
which first uses imsm_prepare_update() to allocate a larger mpb buffer
and store it at "mpb->next_buf", and then invoke imsm_process_update()
to copy the content from current mpb buffer "mpb->buf" to "mpb->next_buf",
and then free the current mpb buffer and set the new buffer as current.

There is a small race window, when monitor thread is syncing metadata,
it gets current buffer pointer in imsm_sync_metadata()->write_super_imsm(),
but before flushing the buffer to disk, manager thread does above switching
buffer which frees current buffer, then monitor thread will run into
use-after-free issue and could cause on-disk metadata corruption.
If system keeps running, further metadata update could fix the corruption,
because after switching buffer, the new buffer will contain good metadata,
but if panic/power cycle happens while disk metadata is corrupted,
the system will run into bootup failure if array is used as root,
otherwise the array can not be assembled after boot if not used as root.

This issue will not happen for imsm array with only one member array,
because the memory array has not be opened yet, monitor thread will not
do any metadata updates.
This can happen for imsm array with at lease two member array, in the
following two scenarios:
1. Restarting mdmon process with at least two member array
This will happen during system boot up or user restart mdmon after mdadm
upgrade
2. Adding new member array to exist imsm array with at least one member
array.

To fix this, delay the switching buffer operation to monitor thread.

Fixes: bbab0940fa75 ("imsm: write bad block log on metadata sync")
Signed-off-by: Junxiao Bi <junxiao.bi@oracle.com>
managemon.c diff | blob | blame | history
super-intel.c diff | blob | blame | history
Unnamed repository; edit this file 'description' to name the repository.