forked from Minki/linux
drm/tegra: Add job firewall
Add a firewall that validates jobs before submission to ensure they don't do anything they aren't allowed to do, like accessing memory they should not access. The firewall is functionality-wise a copy of the firewall already implemented in gpu/host1x. It is copied here as it makes more sense for it to live on the DRM side, as it is only needed for userspace job submissions, and generally the data it needs to do its job is easier to access here. In the future, the other implementation will be removed. Signed-off-by: Mikko Perttunen <mperttunen@nvidia.com> Signed-off-by: Thierry Reding <treding@nvidia.com>
This commit is contained in:
parent
13abe0bb15
commit
8cc95f3fd3
@ -5,6 +5,7 @@ tegra-drm-y := \
|
|||||||
drm.o \
|
drm.o \
|
||||||
uapi.o \
|
uapi.o \
|
||||||
submit.o \
|
submit.o \
|
||||||
|
firewall.o \
|
||||||
gem.o \
|
gem.o \
|
||||||
fb.o \
|
fb.o \
|
||||||
dp.o \
|
dp.o \
|
||||||
|
254
drivers/gpu/drm/tegra/firewall.c
Normal file
254
drivers/gpu/drm/tegra/firewall.c
Normal file
@ -0,0 +1,254 @@
|
|||||||
|
// SPDX-License-Identifier: GPL-2.0-only
|
||||||
|
/* Copyright (c) 2010-2020 NVIDIA Corporation */
|
||||||
|
|
||||||
|
#include "drm.h"
|
||||||
|
#include "submit.h"
|
||||||
|
#include "uapi.h"
|
||||||
|
|
||||||
|
struct tegra_drm_firewall {
|
||||||
|
struct tegra_drm_submit_data *submit;
|
||||||
|
struct tegra_drm_client *client;
|
||||||
|
u32 *data;
|
||||||
|
u32 pos;
|
||||||
|
u32 end;
|
||||||
|
u32 class;
|
||||||
|
};
|
||||||
|
|
||||||
|
static int fw_next(struct tegra_drm_firewall *fw, u32 *word)
|
||||||
|
{
|
||||||
|
if (fw->pos == fw->end)
|
||||||
|
return -EINVAL;
|
||||||
|
|
||||||
|
*word = fw->data[fw->pos++];
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
||||||
|
|
||||||
|
static bool fw_check_addr_valid(struct tegra_drm_firewall *fw, u32 offset)
|
||||||
|
{
|
||||||
|
u32 i;
|
||||||
|
|
||||||
|
for (i = 0; i < fw->submit->num_used_mappings; i++) {
|
||||||
|
struct tegra_drm_mapping *m = fw->submit->used_mappings[i].mapping;
|
||||||
|
|
||||||
|
if (offset >= m->iova && offset <= m->iova_end)
|
||||||
|
return true;
|
||||||
|
}
|
||||||
|
|
||||||
|
return false;
|
||||||
|
}
|
||||||
|
|
||||||
|
static int fw_check_reg(struct tegra_drm_firewall *fw, u32 offset)
|
||||||
|
{
|
||||||
|
bool is_addr;
|
||||||
|
u32 word;
|
||||||
|
int err;
|
||||||
|
|
||||||
|
err = fw_next(fw, &word);
|
||||||
|
if (err)
|
||||||
|
return err;
|
||||||
|
|
||||||
|
if (!fw->client->ops->is_addr_reg)
|
||||||
|
return 0;
|
||||||
|
|
||||||
|
is_addr = fw->client->ops->is_addr_reg(fw->client->base.dev, fw->class,
|
||||||
|
offset);
|
||||||
|
|
||||||
|
if (!is_addr)
|
||||||
|
return 0;
|
||||||
|
|
||||||
|
if (!fw_check_addr_valid(fw, word))
|
||||||
|
return -EINVAL;
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
||||||
|
|
||||||
|
static int fw_check_regs_seq(struct tegra_drm_firewall *fw, u32 offset,
|
||||||
|
u32 count, bool incr)
|
||||||
|
{
|
||||||
|
u32 i;
|
||||||
|
|
||||||
|
for (i = 0; i < count; i++) {
|
||||||
|
if (fw_check_reg(fw, offset))
|
||||||
|
return -EINVAL;
|
||||||
|
|
||||||
|
if (incr)
|
||||||
|
offset++;
|
||||||
|
}
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
||||||
|
|
||||||
|
static int fw_check_regs_mask(struct tegra_drm_firewall *fw, u32 offset,
|
||||||
|
u16 mask)
|
||||||
|
{
|
||||||
|
unsigned long bmask = mask;
|
||||||
|
unsigned int bit;
|
||||||
|
|
||||||
|
for_each_set_bit(bit, &bmask, 16) {
|
||||||
|
if (fw_check_reg(fw, offset+bit))
|
||||||
|
return -EINVAL;
|
||||||
|
}
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
||||||
|
|
||||||
|
static int fw_check_regs_imm(struct tegra_drm_firewall *fw, u32 offset)
|
||||||
|
{
|
||||||
|
bool is_addr;
|
||||||
|
|
||||||
|
is_addr = fw->client->ops->is_addr_reg(fw->client->base.dev, fw->class,
|
||||||
|
offset);
|
||||||
|
if (is_addr)
|
||||||
|
return -EINVAL;
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
||||||
|
|
||||||
|
static int fw_check_class(struct tegra_drm_firewall *fw, u32 class)
|
||||||
|
{
|
||||||
|
if (!fw->client->ops->is_valid_class) {
|
||||||
|
if (class == fw->client->base.class)
|
||||||
|
return 0;
|
||||||
|
else
|
||||||
|
return -EINVAL;
|
||||||
|
}
|
||||||
|
|
||||||
|
if (!fw->client->ops->is_valid_class(class))
|
||||||
|
return -EINVAL;
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
||||||
|
|
||||||
|
enum {
|
||||||
|
HOST1X_OPCODE_SETCLASS = 0x00,
|
||||||
|
HOST1X_OPCODE_INCR = 0x01,
|
||||||
|
HOST1X_OPCODE_NONINCR = 0x02,
|
||||||
|
HOST1X_OPCODE_MASK = 0x03,
|
||||||
|
HOST1X_OPCODE_IMM = 0x04,
|
||||||
|
HOST1X_OPCODE_RESTART = 0x05,
|
||||||
|
HOST1X_OPCODE_GATHER = 0x06,
|
||||||
|
HOST1X_OPCODE_SETSTRMID = 0x07,
|
||||||
|
HOST1X_OPCODE_SETAPPID = 0x08,
|
||||||
|
HOST1X_OPCODE_SETPYLD = 0x09,
|
||||||
|
HOST1X_OPCODE_INCR_W = 0x0a,
|
||||||
|
HOST1X_OPCODE_NONINCR_W = 0x0b,
|
||||||
|
HOST1X_OPCODE_GATHER_W = 0x0c,
|
||||||
|
HOST1X_OPCODE_RESTART_W = 0x0d,
|
||||||
|
HOST1X_OPCODE_EXTEND = 0x0e,
|
||||||
|
};
|
||||||
|
|
||||||
|
int tegra_drm_fw_validate(struct tegra_drm_client *client, u32 *data, u32 start,
|
||||||
|
u32 words, struct tegra_drm_submit_data *submit,
|
||||||
|
u32 *job_class)
|
||||||
|
{
|
||||||
|
struct tegra_drm_firewall fw = {
|
||||||
|
.submit = submit,
|
||||||
|
.client = client,
|
||||||
|
.data = data,
|
||||||
|
.pos = start,
|
||||||
|
.end = start+words,
|
||||||
|
.class = *job_class,
|
||||||
|
};
|
||||||
|
bool payload_valid = false;
|
||||||
|
u32 payload;
|
||||||
|
int err;
|
||||||
|
|
||||||
|
while (fw.pos != fw.end) {
|
||||||
|
u32 word, opcode, offset, count, mask, class;
|
||||||
|
|
||||||
|
err = fw_next(&fw, &word);
|
||||||
|
if (err)
|
||||||
|
return err;
|
||||||
|
|
||||||
|
opcode = (word & 0xf0000000) >> 28;
|
||||||
|
|
||||||
|
switch (opcode) {
|
||||||
|
case HOST1X_OPCODE_SETCLASS:
|
||||||
|
offset = word >> 16 & 0xfff;
|
||||||
|
mask = word & 0x3f;
|
||||||
|
class = (word >> 6) & 0x3ff;
|
||||||
|
err = fw_check_class(&fw, class);
|
||||||
|
fw.class = class;
|
||||||
|
*job_class = class;
|
||||||
|
if (!err)
|
||||||
|
err = fw_check_regs_mask(&fw, offset, mask);
|
||||||
|
if (err)
|
||||||
|
dev_warn(client->base.dev,
|
||||||
|
"illegal SETCLASS(offset=0x%x, mask=0x%x, class=0x%x) at word %u",
|
||||||
|
offset, mask, class, fw.pos-1);
|
||||||
|
break;
|
||||||
|
case HOST1X_OPCODE_INCR:
|
||||||
|
offset = (word >> 16) & 0xfff;
|
||||||
|
count = word & 0xffff;
|
||||||
|
err = fw_check_regs_seq(&fw, offset, count, true);
|
||||||
|
if (err)
|
||||||
|
dev_warn(client->base.dev,
|
||||||
|
"illegal INCR(offset=0x%x, count=%u) in class 0x%x at word %u",
|
||||||
|
offset, count, fw.class, fw.pos-1);
|
||||||
|
break;
|
||||||
|
case HOST1X_OPCODE_NONINCR:
|
||||||
|
offset = (word >> 16) & 0xfff;
|
||||||
|
count = word & 0xffff;
|
||||||
|
err = fw_check_regs_seq(&fw, offset, count, false);
|
||||||
|
if (err)
|
||||||
|
dev_warn(client->base.dev,
|
||||||
|
"illegal NONINCR(offset=0x%x, count=%u) in class 0x%x at word %u",
|
||||||
|
offset, count, fw.class, fw.pos-1);
|
||||||
|
break;
|
||||||
|
case HOST1X_OPCODE_MASK:
|
||||||
|
offset = (word >> 16) & 0xfff;
|
||||||
|
mask = word & 0xffff;
|
||||||
|
err = fw_check_regs_mask(&fw, offset, mask);
|
||||||
|
if (err)
|
||||||
|
dev_warn(client->base.dev,
|
||||||
|
"illegal MASK(offset=0x%x, mask=0x%x) in class 0x%x at word %u",
|
||||||
|
offset, mask, fw.class, fw.pos-1);
|
||||||
|
break;
|
||||||
|
case HOST1X_OPCODE_IMM:
|
||||||
|
/* IMM cannot reasonably be used to write a pointer */
|
||||||
|
offset = (word >> 16) & 0xfff;
|
||||||
|
err = fw_check_regs_imm(&fw, offset);
|
||||||
|
if (err)
|
||||||
|
dev_warn(client->base.dev,
|
||||||
|
"illegal IMM(offset=0x%x) in class 0x%x at word %u",
|
||||||
|
offset, fw.class, fw.pos-1);
|
||||||
|
break;
|
||||||
|
case HOST1X_OPCODE_SETPYLD:
|
||||||
|
payload = word & 0xffff;
|
||||||
|
payload_valid = true;
|
||||||
|
break;
|
||||||
|
case HOST1X_OPCODE_INCR_W:
|
||||||
|
if (!payload_valid)
|
||||||
|
return -EINVAL;
|
||||||
|
|
||||||
|
offset = word & 0x3fffff;
|
||||||
|
err = fw_check_regs_seq(&fw, offset, payload, true);
|
||||||
|
if (err)
|
||||||
|
dev_warn(client->base.dev,
|
||||||
|
"illegal INCR_W(offset=0x%x) in class 0x%x at word %u",
|
||||||
|
offset, fw.class, fw.pos-1);
|
||||||
|
break;
|
||||||
|
case HOST1X_OPCODE_NONINCR_W:
|
||||||
|
if (!payload_valid)
|
||||||
|
return -EINVAL;
|
||||||
|
|
||||||
|
offset = word & 0x3fffff;
|
||||||
|
err = fw_check_regs_seq(&fw, offset, payload, false);
|
||||||
|
if (err)
|
||||||
|
dev_warn(client->base.dev,
|
||||||
|
"illegal NONINCR(offset=0x%x) in class 0x%x at word %u",
|
||||||
|
offset, fw.class, fw.pos-1);
|
||||||
|
break;
|
||||||
|
default:
|
||||||
|
dev_warn(client->base.dev, "illegal opcode at word %u",
|
||||||
|
fw.pos-1);
|
||||||
|
return -EINVAL;
|
||||||
|
}
|
||||||
|
|
||||||
|
if (err)
|
||||||
|
return err;
|
||||||
|
}
|
||||||
|
|
||||||
|
return 0;
|
||||||
|
}
|
@ -326,7 +326,8 @@ static int submit_get_syncpt(struct tegra_drm_context *context, struct host1x_jo
|
|||||||
static int submit_job_add_gather(struct host1x_job *job, struct tegra_drm_context *context,
|
static int submit_job_add_gather(struct host1x_job *job, struct tegra_drm_context *context,
|
||||||
struct drm_tegra_submit_cmd_gather_uptr *cmd,
|
struct drm_tegra_submit_cmd_gather_uptr *cmd,
|
||||||
struct gather_bo *bo, u32 *offset,
|
struct gather_bo *bo, u32 *offset,
|
||||||
struct tegra_drm_submit_data *job_data)
|
struct tegra_drm_submit_data *job_data,
|
||||||
|
u32 *class)
|
||||||
{
|
{
|
||||||
u32 next_offset;
|
u32 next_offset;
|
||||||
|
|
||||||
@ -351,6 +352,12 @@ static int submit_job_add_gather(struct host1x_job *job, struct tegra_drm_contex
|
|||||||
return -EINVAL;
|
return -EINVAL;
|
||||||
}
|
}
|
||||||
|
|
||||||
|
if (tegra_drm_fw_validate(context->client, bo->gather_data, *offset,
|
||||||
|
cmd->words, job_data, class)) {
|
||||||
|
SUBMIT_ERR(context, "job was rejected by firewall");
|
||||||
|
return -EINVAL;
|
||||||
|
}
|
||||||
|
|
||||||
host1x_job_add_gather(job, &bo->base, cmd->words, *offset * 4);
|
host1x_job_add_gather(job, &bo->base, cmd->words, *offset * 4);
|
||||||
|
|
||||||
*offset = next_offset;
|
*offset = next_offset;
|
||||||
@ -404,7 +411,7 @@ submit_create_job(struct tegra_drm_context *context, struct gather_bo *bo,
|
|||||||
|
|
||||||
if (cmd->type == DRM_TEGRA_SUBMIT_CMD_GATHER_UPTR) {
|
if (cmd->type == DRM_TEGRA_SUBMIT_CMD_GATHER_UPTR) {
|
||||||
err = submit_job_add_gather(job, context, &cmd->gather_uptr, bo,
|
err = submit_job_add_gather(job, context, &cmd->gather_uptr, bo,
|
||||||
&gather_offset, job_data);
|
&gather_offset, job_data, &class);
|
||||||
if (err)
|
if (err)
|
||||||
goto free_job;
|
goto free_job;
|
||||||
} else if (cmd->type == DRM_TEGRA_SUBMIT_CMD_WAIT_SYNCPT) {
|
} else if (cmd->type == DRM_TEGRA_SUBMIT_CMD_WAIT_SYNCPT) {
|
||||||
|
@ -14,4 +14,8 @@ struct tegra_drm_submit_data {
|
|||||||
u32 num_used_mappings;
|
u32 num_used_mappings;
|
||||||
};
|
};
|
||||||
|
|
||||||
|
int tegra_drm_fw_validate(struct tegra_drm_client *client, u32 *data, u32 start,
|
||||||
|
u32 words, struct tegra_drm_submit_data *submit,
|
||||||
|
u32 *job_class);
|
||||||
|
|
||||||
#endif
|
#endif
|
||||||
|
Loading…
Reference in New Issue
Block a user