2.6.32内核sendfile的两个bug

在2.6.32内核中，sendfile存在两个已知的bug，其中一个有关安全性，是提权bug。比如http://hi.baidu.com/_kouu/item/b74558542f6b9ca9acc857d0，就详细的提到了。

另一个很少被人发现的bug是，当sendfile发送数据时的偏移（即offset参数）超过300G后，就会返回value too large的错误码。这是由于内核中的sendfile函数中对offset进行合法性检查时，判断出错.

在sendfile的系统调用中：

SYSCALL_DEFINE4(sendfile64, int, out_fd, int, in_fd, loff_t __user *, offset, size_t, count)
{
        loff_t pos;
        ssize_t ret;

        if (offset) {  /* 如果起始偏移不是0 */
                if (unlikely(copy_from_user(&pos, offset, sizeof(loff_t))))
                        return -EFAULT;
                ret = do_sendfile(out_fd, in_fd, &pos, count, 0);   /* 注意，最后一个参数为0 */
                if (unlikely(put_user(pos, offset)))
                        return -EFAULT;
                return ret;
        }

        return do_sendfile(out_fd, in_fd, NULL, count, 0);
}

static ssize_t do_sendfile(int out_fd, int in_fd, loff_t *ppos,
                           size_t count, loff_t max)   /* 当ppos的值不为空时，从系统调用传进来的max知为零 */
{
...

        if (!max)

/* bug发生在此处，sendfile的本意是想找出两个fd对应的磁盘空间总大小中最小的那个，但是由于out_inode是一个socket的文件描述符，所以这么比较是有误的，肯定会导致后面的判断出错 */

                max = min(in_inode->i_sb->s_maxbytes, out_inode->i_sb->s_maxbytes);

        pos = *ppos;
        if (unlikely(pos + count > max)) {
                retval = -EOVERFLOW;
                if (pos >= max)
                        goto fput_out;
                count = max - pos;
        }

...

}