l2tp: fix racy SOCK_ZAPPED flag check in l2tp_ip{,6}_bind()

[firefly-linux-kernel-4.4.55.git] / net / l2tp / l2tp_ip6.c
diff --git a/net/l2tp/l2tp_ip6.c b/net/l2tp/l2tp_ip6.c

index aca38d8aed8e80b47ded2c81bbf346a39a678ce2..3c4f867d3633144f38c2ddc5783dd0fac23832f8 100644 (file)
--- a/net/l2tp/l2tp_ip6.c
+++ b/net/l2tp/l2tp_ip6.c
@@ -135,12 +135,11 @@ static int l2tp_ip6_recv(struct sk_buff *skb)
         struct l2tp_tunnel *tunnel = NULL;
         int length;
  
-       /* Point to L2TP header */
-       optr = ptr = skb->data;
-
         if (!pskb_may_pull(skb, 4))
                 goto discard;
  
+       /* Point to L2TP header */
+       optr = ptr = skb->data;
         session_id = ntohl(*((__be32 *) ptr));
         ptr += 4;
  
@@ -168,6 +167,9 @@ static int l2tp_ip6_recv(struct sk_buff *skb)
                 if (!pskb_may_pull(skb, length))
                         goto discard;
  
+               /* Point to L2TP header */
+               optr = ptr = skb->data;
+               ptr += 4;
                 pr_debug("%s: ip recv\n", tunnel->name);
                 print_hex_dump_bytes("", DUMP_PREFIX_OFFSET, ptr, length);
         }
@@ -264,8 +266,6 @@ static int l2tp_ip6_bind(struct sock *sk, struct sockaddr *uaddr, int addr_len)
         int addr_type;
         int err;
  
-       if (!sock_flag(sk, SOCK_ZAPPED))
-               return -EINVAL;
         if (addr->l2tp_family != AF_INET6)
                 return -EINVAL;
         if (addr_len < sizeof(*addr))
@@ -291,6 +291,9 @@ static int l2tp_ip6_bind(struct sock *sk, struct sockaddr *uaddr, int addr_len)
         lock_sock(sk);
  
         err = -EINVAL;
+       if (!sock_flag(sk, SOCK_ZAPPED))
+               goto out_unlock;
+
         if (sk->sk_state != TCP_CLOSE)
                 goto out_unlock;
  
@@ -486,6 +489,7 @@ static int l2tp_ip6_sendmsg(struct sock *sk, struct msghdr *msg, size_t len)
         DECLARE_SOCKADDR(struct sockaddr_l2tpip6 *, lsa, msg->msg_name);
         struct in6_addr *daddr, *final_p, final;
         struct ipv6_pinfo *np = inet6_sk(sk);
+       struct ipv6_txoptions *opt_to_free = NULL;
         struct ipv6_txoptions *opt = NULL;
         struct ip6_flowlabel *flowlabel = NULL;
         struct dst_entry *dst = NULL;
@@ -575,8 +579,10 @@ static int l2tp_ip6_sendmsg(struct sock *sk, struct msghdr *msg, size_t len)
                         opt = NULL;
         }
  
-       if (opt == NULL)
-               opt = np->opt;
+       if (!opt) {
+               opt = txopt_get(np);
+               opt_to_free = opt;
+       }
         if (flowlabel)
                 opt = fl6_merge_options(&opt_space, flowlabel, opt);
         opt = ipv6_fixup_options(&opt_space, opt);
@@ -631,6 +637,7 @@ done:
         dst_release(dst);
  out:
         fl6_sock_release(flowlabel);
+       txopt_put(opt_to_free);
  
         return err < 0 ? err : len;