projects / binutils-gdb.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 60cd08d) | patch
gdb/varobj: Fix use after free in varobj
authorLancelot SIX <lancelot.six@amd.com>
Fri, 8 Jul 2022 10:37:18 +0000 (11:37 +0100)
committerLancelot SIX <lsix@lancelotsix.com>
Tue, 26 Jul 2022 07:27:27 +0000 (08:27 +0100)
commitbc20e562ec0436b6117b989c0e3d8f66c9d4d979
tree868b81b4f341e2b9cccc7fbc1d8210bb46f93f48tree
parent60cd08d40309a2b4ce1daae84074893e6303ad17commit | diff
gdb/varobj: Fix use after free in varobj

Varobj object contains references to types, variables (i.e. struct
variable) and expression.  All of those can reference data on an
objfile's obstack.  It is possible for this objfile to be deleted (and
the obstack to be feed), while the varobj remains valid.  Later, if the
user uses the varobj, this will result in a use-after-free error.  With
address sanitizer build, this leads to a plain error.  For non address
sanitizer build we might see undefined behaviour, which manifest
themself as assertion failures when accessing data backed by feed
memory.

This can be observed if we create a varobj that refers to ta symbol in a
shared library, after either the objfile gets reloaded (using the `file`
command) or after the shared library is unloaded (with a call to dlclose
for example).

This patch fixes those issues by:

- Adding cleanup procedure to the free_objfile observable.  When
  activated this observer clears expressions referencing the objfile
  being freed, and removes references to blocks belonging to this
  objfile.
- Adding varobj support in the `preserve_values` (gdb.value.c).  This
  ensures that before the objfile is unloaded, any type owned by the
  objfile referenced by the varobj is replaced by an equivalent type
  not owned by the objfile.  This process is done here instead of in the
  free_objfile observer in order to reuse the type hash table already
  used for similar purpose when replacing types of values kept in the
  value history.

This patch also makes sure to keep a reference to the expression's
gdbarch and language_defn members when the varobj->root->exp is
initialized.  Those structures outlive the objfile, so this is safe.
This is done because those references might be used initialize a python
context even after exp is invalidated.  Another approach could have been
to initialize the python context with default gdbarch and language_defn
(i.e. nullptr) if expr is NULL, but since we might still try to display
the value which was obtained by evaluating exp when it was still valid,
keeping track of the context which was used at this time seems
reasonable.

Tested on x86_64-Linux.

Co-Authored-By: Pedro Alves <pedro@palves.net>
gdb/testsuite/gdb.mi/mi-var-invalidate-shlib-lib.c [new file with mode: 0644] blob
gdb/testsuite/gdb.mi/mi-var-invalidate-shlib.c [new file with mode: 0644] blob
gdb/testsuite/gdb.mi/mi-var-invalidate-shlib.exp [new file with mode: 0644] blob
gdb/value.c diff | blob | history
gdb/varobj.c diff | blob | history