<p>Pau Espin Pedrol has uploaded this change for <strong>review</strong>.</p><p><a href="https://gerrit.osmocom.org/13837">View Change</a></p><pre style="font-family: monospace,monospace; white-space: pre-wrap;">bsc_nat: Fix crash (double-free) in forward_sccp_to_msc<br><br>In bsc_nat_parse(), parsed is allocated this way:<br>"""parsed = talloc_zero(msg, struct bsc_nat_parsed);"""<br>So parsed is a child of msg, and so it's freed when msg is freed.<br><br>Since libosmocore c7f52c4c84d6a8898048738c4db9266289c40b45,<br>osmo_wqueue_enqueue() correctly detects queue full and returns an error,<br>and then queue_for_msc() calls msgb_free(). Code in osmo-bsc-nat was<br>probably written before that change in behavior, so that's why probably<br>the bug was not hit before.<br><br>Related: SYS#4548<br>Change-Id: I209d3e2d809a67915ec43c874e68f7f746a565f0<br>---<br>M openbsc/src/osmo-bsc_nat/bsc_nat.c<br>1 file changed, 11 insertions(+), 6 deletions(-)<br><br></pre><pre style="font-family: monospace,monospace; white-space: pre-wrap;">git pull ssh://gerrit.osmocom.org:29418/openbsc refs/changes/37/13837/1</pre><pre style="font-family: monospace,monospace; white-space: pre-wrap;"><span>diff --git a/openbsc/src/osmo-bsc_nat/bsc_nat.c b/openbsc/src/osmo-bsc_nat/bsc_nat.c</span><br><span>index 670b0be..fb34aa7 100644</span><br><span>--- a/openbsc/src/osmo-bsc_nat/bsc_nat.c</span><br><span>+++ b/openbsc/src/osmo-bsc_nat/bsc_nat.c</span><br><span>@@ -108,19 +108,23 @@</span><br><span>       return NULL;</span><br><span> }</span><br><span> </span><br><span style="color: hsl(0, 100%, 40%);">-static void queue_for_msc(struct bsc_msc_connection *con, struct msgb *msg)</span><br><span style="color: hsl(120, 100%, 40%);">+static int queue_for_msc(struct bsc_msc_connection *con, struct msgb *msg)</span><br><span> {</span><br><span style="color: hsl(120, 100%, 40%);">+     int rc;</span><br><span>      if (!con) {</span><br><span>          LOGP(DLINP, LOGL_ERROR, "No MSC Connection assigned. Check your code.\n");</span><br><span>                 msgb_free(msg);</span><br><span style="color: hsl(0, 100%, 40%);">-         return;</span><br><span style="color: hsl(120, 100%, 40%);">+               return -EINVAL;</span><br><span>      }</span><br><span> </span><br><span style="color: hsl(0, 100%, 40%);">-</span><br><span style="color: hsl(0, 100%, 40%);">-   if (osmo_wqueue_enqueue(&con->write_queue, msg) != 0) {</span><br><span style="color: hsl(120, 100%, 40%);">+        rc = osmo_wqueue_enqueue(&con->write_queue, msg);</span><br><span style="color: hsl(120, 100%, 40%);">+      if (rc != 0) {</span><br><span>               LOGP(DLINP, LOGL_ERROR, "Failed to enqueue the write.\n");</span><br><span>                 msgb_free(msg);</span><br><span style="color: hsl(120, 100%, 40%);">+               return rc;</span><br><span>   }</span><br><span style="color: hsl(120, 100%, 40%);">+</span><br><span style="color: hsl(120, 100%, 40%);">+   return 0;</span><br><span> }</span><br><span> </span><br><span> static void send_reset_ack(struct bsc_connection *bsc)</span><br><span>@@ -1277,9 +1281,10 @@</span><br><span>        }</span><br><span> </span><br><span>        /* send the non-filtered but maybe modified msg */</span><br><span style="color: hsl(0, 100%, 40%);">-      queue_for_msc(con_msc, msg);</span><br><span style="color: hsl(0, 100%, 40%);">-    if (parsed)</span><br><span style="color: hsl(120, 100%, 40%);">+   if (queue_for_msc(con_msc, msg) == 0 && parsed)</span><br><span>              talloc_free(parsed);</span><br><span style="color: hsl(120, 100%, 40%);">+  /* else: enqueue error, msg has been freed, and so child parsed is freed too */</span><br><span style="color: hsl(120, 100%, 40%);">+</span><br><span>    return 0;</span><br><span> </span><br><span> exit:</span><br><span></span><br></pre><p>To view, visit <a href="https://gerrit.osmocom.org/13837">change 13837</a>. To unsubscribe, or for help writing mail filters, visit <a href="https://gerrit.osmocom.org/settings">settings</a>.</p><div itemscope itemtype="http://schema.org/EmailMessage"><div itemscope itemprop="action" itemtype="http://schema.org/ViewAction"><link itemprop="url" href="https://gerrit.osmocom.org/13837"/><meta itemprop="name" content="View Change"/></div></div>

<div style="display:none"> Gerrit-Project: openbsc </div>
<div style="display:none"> Gerrit-Branch: master </div>
<div style="display:none"> Gerrit-MessageType: newchange </div>
<div style="display:none"> Gerrit-Change-Id: I209d3e2d809a67915ec43c874e68f7f746a565f0 </div>
<div style="display:none"> Gerrit-Change-Number: 13837 </div>
<div style="display:none"> Gerrit-PatchSet: 1 </div>
<div style="display:none"> Gerrit-Owner: Pau Espin Pedrol <pespin@sysmocom.de> </div>