Bump version to 35

Signed-off-by: Peter Jones <pjones@redhat.com>

Don't use _Generic because gcc 4.x doesn't have it...

Signed-off-by: Peter Jones <pjones@redhat.com>

Make efi_get_variable_exists match the version we put on it.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make non-pull-request builds work.

Signed-off-by: Peter Jones <pjones@redhat.com>

Use https for github urls in travis.

If I don't, I awesomely get:

git remote add remote git@github.com:${remote_repo}
git fetch remote
Host key verification failed.
fatal: Could not read from remote repository.

Signed-off-by: Peter Jones <pjones@redhat.com>

more travis stuf...

Signed-off-by: Peter Jones <pjones@redhat.com>

More travis stuff maybe.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make the log smaller...

Signed-off-by: Peter Jones <pjones@redhat.com>

Some more travis work...

Signed-off-by: Peter Jones <pjones@redhat.com>

Make travis dump some stuff at us.

Signed-off-by: Peter Jones <pjones@redhat.com>

Work around -Werror=stringop-overflow= being daft.

With:

len = strlen(foo + offset) + 1;
buf = calloc(1, len);
if (!buf)
err(1, "out of memory");
strncpy(buf, foo+offset, len);

-Wstringop-overflow complains:

efivar.c:169:2: error: 'strncpy' specified bound depends on the length of the source argument [-Werror=stringop-overflow=]
  strncpy(name_buf, guid_name + name_pos, name_len);
  ^
efivar.c:163:13: note: length computed here
  name_len = strlen(guid_name + name_pos) + 1;
             ^
lto1: all warnings being treated as errors

Which... Duh, so was the allocation it's writing into.  So what?

Signed-off-by: Peter Jones <pjones@redhat.com>

Update travis.yml to be wildly different...

Make 0abba7dc-e516-4167-bbf5-4d9d1c739416 reflect its use in fwupdate

Signed-off-by: Peter Jones <pjones@redhat.com>

makeguids: generalize the efi_guid_empty mechanism to arbitrary aliases.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add efi_get_variable_exists()

Sometimes we just want to know if a variable exists, and don't care about the
attributes or what the variable contains. Use efi_get_variable_attributes()
under the covers to avoid adding yet-another-fvunc to all the backends.

Use __builtin_bswap16() in EFI_GUID and other places.

This makes EFI_GUID() usually not be an expression that has to be in a
function.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivarfs / vars: usleep() before reading from efivarfs if euid != 0

There's a kernel rate limiter on efi variable reads now for
non-root users, and we'd rather just not hit it than have to dig out
from having hit it.  So this adds a 10ms sleep before each read call.

If you do have 50 variables, efibootmgr will do 100 reads, which would
trigger the rate limit.  In that case, this patch adds 1 second (plus
lossage due to calling, etc.), so it should stay just below the
triggering threshold.  That will definitely be /smoother/ than hitting
it, and almost certainly faster as well, because the extra calls will
re-enforce the limit.

Signed-off-by: Peter Jones <pjones@redhat.com>

Bump version to 34

Signed-off-by: Peter Jones <pjones@redhat.com>

Add UX capsule to map for 33 not 32

commit cd732494 fixed UX capsule support, but it mistakingly marked
it for version 32.  It really should be marked for 33.

Add a patch from Helmut Grohne for cross compiling

Originally came from
https://bugs.debian.org/cgi-bin/bugreport.cgi?att=1;bug=843261;filename=efivar_30-1.1.debdiff;msg=5

Clean up superfluous slashes

Use correct paths in pc files

Previously, the paths in the pkgconfig files were hardcoded resulting
in broken include paths on NixOS.

This patch replaces the paths with placeholders that will be changed
during making.

Be more stringent on the criteria for not doing disk probes.

This bit of the nvdimm code stops HD() paths from getting generated
right sometimes.

Signed-off-by: Peter Jones <pjones@redhat.com>

define strndupa if it is not defined

musl does not include strndupa in <string.h>. Define strndupa if it has
not already been defined.

cleanup: found is always true in branch

Remove use of found in conditional, as it is always true.

Bump version to 33

- Add NVDIMM support.
- Doesn't change much, but we need to bump to 33 because of an fwupdate bug.

Signed-off-by: Peter Jones <pjones@redhat.com>

lib*.abixml: update to avoid the "added-function" issue.

Signed-off-by: Peter Jones <pjones@redhat.com>

abignore: minor regexp fixes.

These don't help, mind you, as currently "added-function" exceptions
don't seem to work at all, and they're impossible to debug.

Signed-off-by: Peter Jones <pjones@redhat.com>

Fix some broken .abixml files

Apparently whichever version of libabigail I built with left the first
argument out of several function definitions in the .abixml file.  This
fixes them up while avoiding the other major changes (i.e.
efidp_make_nvdimm should still be "new", even though that change should
still be suppressed when we compare them.)

Signed-off-by: Peter Jones <pjones@redhat.com>

NVDIMM: UUID<->GUID needs endian swizzling.

The NVDIMM Label in sysfs is a UUID rather than a GUID.  The big
difference is UUIDs are stored opposite-endian from GUIDs, so
efi_str_to_guid() is giving us back a GUID with the first 8 bytes in the
wrong order.  Fix it up after we read it from sysfs and parse it.

Signed-off-by: Peter Jones <pjones@redhat.com>

More NVDIMM work.

With this, it works with efibootmgr:

[root@testbox pjones]# LD_LIBRARY_PATH=/root/pjones efibootmgr -b 000E -C -d /dev/pmem12.2 -L pjones-test -l /dax-screw-aeI12d -v
BootCurrent: 000D
Timeout: 1 seconds
BootOrder: 000D
Boot000D* Red Hat Enterprise Linux HD(1,GPT,727bbaeb-9766-4e3b-b374-d3f2dc9a0ab5,0x800,0x64000)/File(\EFI\redhat\shimx64.efi)
Boot000E* pjones-test NVDIMM(829c5205-89a5-4581-9819-df7d7754c622)/File(\dax-screw-aeI12d)

(obviously this won't actually boot because /mnt/test is not the ESP and
dax-screw-aeI12d is just some random file I found sitting around, but
the EFI boot variable appears to be correct.)

Signed-off-by: Peter Jones <pjones@redhat.com>

makeguids: use builtins for bswap() functions.

makeguids: Ensure compatibility with other libcs

The musl libc does not provide __bswap_constant_XX.
If <endian.h> does not provide these macros, use our own.

This fixes issue #84.

Add NVDIMM-P support

better error reports in linux and creator code

fixup for 3a2a35f638e

add protocol guids list

Add the external management mechanism guid

efivarfs_set_variable(): don't test access before creating variables.

Coverity, possibly correctly (though it's hard to see what the resulting
problem would be in this case), believes checking access(path, F_OK)
before doing open(path, ...) is a TOCTOU error.  And it arguably is,
except you have to be root to do this and we're operating entirely in
sysfs, so... hard to see how you could race it or what you could gain.
Maybe something at a higher level can be convinced to race stupidly if
you're calling libefivar.  I dunno.

Anyway, attempt to fix it.

Signed-off-by: Peter Jones <pjones@redhat.com>

Work around coverity being stupid (CID 182336/REVERSE_INULL)

Coverity *really* doesn't like testing a string that's been previously
dereferenced, because they believe programs are written once and nothing
ever changes, and they don't believe common error paths should plan for
that to happen.

Thus, if you do:

int
foo(void)
{
int ret = -1, rc;
char *path = NULL;

rc = asprintf(&path, "foo");
if (rc < 0)
return -1; // because this is return, not goto err ...

// lots of stuff ...
if (rc < 0)
goto err; // ... and this is goto err ...

// stuff ...
ret = 0;
err:
if (path) // ... CID 182336 (REVERSE_INULL) triggers here
free(path);
return ret;
}

Even though this is perfectly reasonable code that does not contain any
actual bugs, coverity's REVERSE_INULL check complains about the test on
path.  This isn't a complaint about the code - it's an error message
about coverity's inability to infer why you've done it.  And why you've
done it is so that if the code above changes, the error path doesn't
suddenly become unsafe.

So change the error path usage so that it will also jump to the common
error path, which is completely unnecessary, when path could be NULL.

Yes, this is stupid.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar: prepare_data(): check for invalid filename.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make a checker for coverity being installed

Signed-off-by: Peter Jones <pjones@redhat.com>

Remove popt-devel from BuildRequires in the spec file.

Signed-off-by: David Cantrell <david.l.cantrell@gmail.com>

Remove PKGS=popt from src/Makefile

Signed-off-by: David Cantrell <david.l.cantrell@gmail.com>

Replace popt usage with getopt_long in efivar.c.

efivar does not make use of popt in a way that really requires the
dependency.  Since this is a low level system utility, it's possible
some system builders want to reduce redundant libraries they need to
build and install.  popt is arguably redundant with getopt_long.  It's
possible to just drop long option handling entirely so it works with
plain old getopt.  The intent with this patch was to provide the same
command line options but just using what the C library provides rather
than popt.

The attributes variable in main() has also been changed to a uint32_t
size and sign consistency with its usage in edit_variable().

Signed-off-by: David Cantrell <david.l.cantrell@gmail.com>

test: Fix efivar.h location

When other bits of the source got fixed to use a different include path
for efivars, the test directory did not.

Revert "Enable C11 mode" (d7e8e4c6) and do it the right way.

This reverts commit d7e8e4c646ff02ec7e308998de5f2318d6607dbc.

We already have -std=gnu11 in gcc.specs, we just need it on the clang
side as well, so put it there.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make pkg-config test if CROSS_COMPILE applies...

Signed-off-by: Peter Jones <pjones@redhat.com>

Make.defaults: honor COMPILER to make CI easier.

Signed-off-by: Peter Jones <pjones@redhat.com>

add some travis CI bits here to see if it works

Signed-off-by: Peter Jones <pjones@redhat.com>

make: improve 'clean' target

Signed-off-by: Peter Jones <pjones@redhat.com>

Make format_ucs2() not use a variable-length array.

Coverity complains (during the build, as a "recoverable" error):

"dp.h", line 134: warning #1234: a variable-length array is not allowed inside
          of a statement expression
                uint16_t _ucs2buf[(len)];                               \
                         ^

So don't do that.

Signed-off-by: Peter Jones <pjones@redhat.com>

Use fwupdate's Make.coverity instead of implementing it inline.

Signed-off-by: Peter Jones <pjones@redhat.com>

Enable C11 mode

Do not warn on taking address of packed member

Cast port to 16-bit integer

Use `__typeof__` instead of `typeof`

Improve __nonnull__ usage on clang

On gcc, we use the pragma "-Wnonnull-compare" to avoid GCC's complaints
of checking for NULL on a function marked with __nonnull__.  This adds
clang's -Wpointer-bool-conversion to avoid the same kind of thing there.

Fix const to non-const pointer cast

Replace zero-length arrays with C99 flexible array member

Disable the __artificial__ attribute on Clang

generic_append_variable(): only try to create if errno was ENOENT

Signed-off-by: Peter Jones <pjones@redhat.com>

Allow abigail to ignore a few more things.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make efi_guid_ux_capsule actually work.

Signed-off-by: Peter Jones <pjones@redhat.com>

Update efivar.spec.in

Signed-off-by: Peter Jones <pjones@redhat.com>

Bump version to 32

- lots of coverity fixes; mostly leaked memory and fds and the like
- fix sysfs pci path formats
- handle device paths for dns, nfit, bluetooth, wifi, emmc, btle.
- improved abi checking on releases
- Fix failures on EDIT_WRITE in edit_variable() when the variable doesn't
  exist
- Add efi_guid_ux_capsule_guid to our guids

Signed-off-by: Peter Jones <pjones@redhat.com>

Make "make archive" update the version number and do the ABI check right.

Signed-off-by: Peter Jones <pjones@redhat.com>

Improve libabigail support a bit.

This does a couple of things:
- makes sure we're using --headers-dir with abidw and --headers-dir2
  with abidiff
- ignores additions to the efidp_data type
- Makes the abidw commit amend onto the "bump version" one.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add the localized text image guid.

As documented here: https://docs.microsoft.com/en-us/windows-hardware/drivers/bringup/boot-screen-components

Signed-off-by: Peter Jones <pjones@redhat.com>

Add a syntastic config for vim

Signed-off-by: Peter Jones <pjones@redhat.com>

Add a formatter for Dns() device types.

This re-organizes the IPv4 and IPv6 formatters so they can be used to
print Dns() entries, and then uses them to do that.

Maybe?  Not sure if I've got endianness right.

Signed-off-by: Peter Jones <pjones@redhat.com>

most 2.7 types, but not dns or nfit

Add NvDimm _ADR encoder/decoder.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: add EFIDP_EFI_ACPI_ID() and related bits.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: Add a bunch of UEFI 2.7 messaging device path types.

Signed-off-by: Peter Jones <pjones@redhat.com>

format_hex_helper: add the ability to include separators.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make our -I path not include efivar/

This allows vim's syntax checker to find the include files correctly,
which is nice while working on it.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: fix argument names in efidp_encode_acpi_display_adr

Signed-off-by: Peter Jones <pjones@redhat.com>

linux.c: fix sysfs pci path format specifiers

%4x sometimes introduces spaces; this should use %04hx for root_domain
and %02hhx for root_bus everywhere.

Resolves github issue #83.

Signed-off-by: Peter Jones <pjones@redhat.com>

edit_variable(): don't fail with EDIT_WRITE on non-existing variables.

If we're writing a variable, not being able to read it first is fine.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: Make __attribute__((__packed__)) into an easier to type macro.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add coverity build+upload make targets

Signed-off-by: Peter Jones <pjones@redhat.com>

linux.c: fix a pile of sscanf(NULL, ...) possibilities.

Covscan apparently can't figure out that rc!=error == buf!=NULL.

None of these should ever actually happen, because we're checking for
the error cases from the functions that should fill them in, but hey,
belt and suspenders.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_generate_file_device_path(): make all error paths use "goto err;"

Honestly I'm just trying to shut coverity up about checking
child_devpath for NULL-ness twice on the other two error paths.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_create(): avoid NULL dereference

covscan rightly points out that dp is allowed to be NULL (and so is
buf), so we can't pass those in to memcpy() in those cases.

So don't.

Signed-off-by: Peter Jones <pjones@redhat.com>

Simplify efidp_append_node() even more.

Covscan rightly notices that now we've got enough tests on dp and dn
that some of them are provably dead code.

So take a bunch out.

Signed-off-by: Peter Jones <pjones@redhat.com>

gpt: try to avoid trusting unverified partition table data.

Covscan complains thusly:
 4. efivar-31/src/gpt.c:338: tainted_data_return: Function "alloc_read_gpt_header" returns tainted data.
 7. efivar-31/src/gpt.c:311:2: tainted_data_argument: Function "read_lba" taints argument "gpt".
12. efivar-31/src/gpt.c:245:2: tainted_data_argument: Calling function "read" taints parameter "*iobuf". [Note: The source code implementation of the function has been overridden by a builtin model.]
13. efivar-31/src/gpt.c:246:2: tainted_data_transitive: "memcpy" taints argument "buffer" because argument "iobuf" is tainted. [Note: The source code implementation of the function has been overridden by a builtin model.]
16. efivar-31/src/gpt.c:316:2: return_tainted_data: Returning tainted variable "gpt".
17. efivar-31/src/gpt.c:338: var_assign: Assigning: "*gpt" = "alloc_read_gpt_header", which taints "*gpt".
26. efivar-31/src/gpt.c:382: tainted_data: Passing tainted variable "(*gpt)->num_partition_entries" to a tainted sink.
27. efivar-31/src/gpt.c:272:15: var_assign_alias: Assigning: "count" = "(__u32)(__le32)gpt->num_partition_entries * (__u32)(__le32)gpt->sizeof_partition_entry". Both are now tainted.
30. efivar-31/src/gpt.c:278:2: tainted_data_sink_lv_call: Passing tainted variable "count" to tainted data sink "malloc".

Hopefully this patch validates num_partition_entries and
sizeof_partition_entry well enough...

Signed-off-by: Peter Jones <pjones@redhat.com>

dp.h: Try to make covscan believe format() is checking its bounds.

covscan doesn't grok that size and off wind up being proxies for buf's
NULL check.  Hilarity ensues.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar main(): explain efi_well_known_guids to the compiler better.

Covscan doesn't quite understand that this _is_ an array, so make it
look even more like one.

Signed-off-by: Peter Jones <pjones@redhat.com>

calls to sysfs_readlink(): check linkbuf for NULLness.

If linkbuf were NULL, sysfs_readlink() would have returned an error, but
covscan can't figure that out, so it thinks linkbuf might be NULL.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_args_from_file(): make sure buf is only NULL if size is.

This avoids passing NULL to fread().

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

show_errors(): make the useful part here not be dead code.

Woops.

Signed-off-by: Peter Jones <pjones@redhat.com>

efidp_duplicate_extra(): error if our allocation is too small.

Covscan believes we might pass 0 to calloc(), though I suspect this is
because it doesn't fully grok add().

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_create(): check buf for NULLness.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_variable_import(): constrain our inputs better.

efi_variable_import() could plausibly pass NULL to memcpy() if buf is 0
and size is < 0, though that should never be the case.  Make the input
checking return EINVAL if that's the case.

Found by Covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

makeguids: free our input buffer.

Covscan noticed this, but didn't notice that this is a short lived
program that just parses some tables during the build.  It *sooo*
doesn't matter.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_variable_import(): make sure var.data_size is set.

Covscan noticed that var.data_size isn't set when we memcpy the
structure.  It should be set.

Signed-off-by: Peter Jones <pjones@redhat.com>

efidp_append_path(): error check the right variable.

We do lsz=efidp_size(dp); rsz=efidp_size(dn); and then we error check
lsz twice.  One should be rsz.

We also actually do the whole thing with lsz twice anyway, and fail to
check that dp isn't NULL first.

We're also not error checking that the buffer from our addition is
actually large enough to hold something meaningful.  So do that too.

None of that is right, so fix it.

Covscan completely failed to notice this, but complained about something
irrelevant later on in the code that's a result.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_variable_import(): fix memory leak on failure path.

When one of our allocations fails, we leak the other one.  Woops.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_va_generate_file_device_path_from_esp(): handle errors better.

When efi_va_generate_file_device_path_from_esp() gets an error from
efidp_make_edd10() or make_blockdev_path(), it fails to close the file
descriptor it uses to do ioctl() against the disk.  So make it use the
common error path for those as well.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>