<div dir="ltr"><div><br></div><div>Thanks for checking it.</div>This is found by feeding the following crash file directly to virgl_renderer_submit_cmd. The input is generated randomly by fuzzing process<div><br><div class="gmail_quote"><div dir="ltr">On Mon, Jul 9, 2018 at 3:25 PM Dave Airlie <<a href="mailto:airlied@gmail.com" target="_blank">airlied@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 21 June 2018 at 09:56, Po-Hsien Wang <<a href="mailto:pwang@chromium.org" target="_blank">pwang@chromium.org</a>> wrote:<br>
> ---<br>
>  src/vrend_decode.c   | 3 ++-<br>
>  src/vrend_renderer.c | 3 ++-<br>
>  2 files changed, 4 insertions(+), 2 deletions(-)<br>
><br>
> diff --git a/src/vrend_decode.c b/src/vrend_decode.c<br>
> index d50f385..8793668 100644<br>
> --- a/src/vrend_decode.c<br>
> +++ b/src/vrend_decode.c<br>
> @@ -295,7 +295,8 @@ static int vrend_decode_set_sampler_views(struct vrend_decode_ctx *ctx, uint16_t<br>
>        return EINVAL;<br>
><br>
>     if (num_samps > PIPE_MAX_SHADER_SAMPLER_VIEWS ||<br>
> -       start_slot > (PIPE_MAX_SHADER_SAMPLER_VIEWS - num_samps))<br>
> +       start_slot > (PIPE_MAX_SHADER_SAMPLER_VIEWS - num_samps) ||<br>
> +       start_slot < 0)<br>
>        return EINVAL;<br>
<br>
I've sent a better fix for this, please review it.<br>
<a href="https://patchwork.freedesktop.org/series/46222/" rel="noreferrer" target="_blank">https://patchwork.freedesktop.org/series/46222/</a><br>
<br>
>        view = vrend_object_lookup(ctx->sub->object_hash, handle, VIRGL_OBJECT_SAMPLER_VIEW);<br>
>        if (!view) {<br>
> -         ctx->sub->views[shader_type].views[index] = NULL;<br>
> +         if (index < ctx->sub->views[shader_type].num_views)<br>
> +            ctx->sub->views[shader_type].views[index] = NULL;<br>
<br>
Why is this necessary, we've already confirmed the index should be<br>
within the bounds of the<br>
memory allocated, avoiding a NULL write to somewhere doesn't really<br>
save us anything<br>
or make it more secure.<br></blockquote><div><br></div><div>Yeah, you are right. This is not needed anymore if we handle it uint32.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dave.<br>
</blockquote></div></div></div>