Make efi_guid_ux_capsule actually work.

Signed-off-by: Peter Jones <pjones@redhat.com>

Update efivar.spec.in

Signed-off-by: Peter Jones <pjones@redhat.com>

Bump version to 32

- lots of coverity fixes; mostly leaked memory and fds and the like
- fix sysfs pci path formats
- handle device paths for dns, nfit, bluetooth, wifi, emmc, btle.
- improved abi checking on releases
- Fix failures on EDIT_WRITE in edit_variable() when the variable doesn't
  exist
- Add efi_guid_ux_capsule_guid to our guids

Signed-off-by: Peter Jones <pjones@redhat.com>

Make "make archive" update the version number and do the ABI check right.

Signed-off-by: Peter Jones <pjones@redhat.com>

Improve libabigail support a bit.

This does a couple of things:
- makes sure we're using --headers-dir with abidw and --headers-dir2
  with abidiff
- ignores additions to the efidp_data type
- Makes the abidw commit amend onto the "bump version" one.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add the localized text image guid.

As documented here: https://docs.microsoft.com/en-us/windows-hardware/drivers/bringup/boot-screen-components

Signed-off-by: Peter Jones <pjones@redhat.com>

Add a syntastic config for vim

Signed-off-by: Peter Jones <pjones@redhat.com>

Add a formatter for Dns() device types.

This re-organizes the IPv4 and IPv6 formatters so they can be used to
print Dns() entries, and then uses them to do that.

Maybe?  Not sure if I've got endianness right.

Signed-off-by: Peter Jones <pjones@redhat.com>

most 2.7 types, but not dns or nfit

Add NvDimm _ADR encoder/decoder.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: add EFIDP_EFI_ACPI_ID() and related bits.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: Add a bunch of UEFI 2.7 messaging device path types.

Signed-off-by: Peter Jones <pjones@redhat.com>

format_hex_helper: add the ability to include separators.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make our -I path not include efivar/

This allows vim's syntax checker to find the include files correctly,
which is nice while working on it.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: fix argument names in efidp_encode_acpi_display_adr

Signed-off-by: Peter Jones <pjones@redhat.com>

linux.c: fix sysfs pci path format specifiers

%4x sometimes introduces spaces; this should use %04hx for root_domain
and %02hhx for root_bus everywhere.

Resolves github issue #83.

Signed-off-by: Peter Jones <pjones@redhat.com>

edit_variable(): don't fail with EDIT_WRITE on non-existing variables.

If we're writing a variable, not being able to read it first is fine.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: Make __attribute__((__packed__)) into an easier to type macro.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add coverity build+upload make targets

Signed-off-by: Peter Jones <pjones@redhat.com>

linux.c: fix a pile of sscanf(NULL, ...) possibilities.

Covscan apparently can't figure out that rc!=error == buf!=NULL.

None of these should ever actually happen, because we're checking for
the error cases from the functions that should fill them in, but hey,
belt and suspenders.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_generate_file_device_path(): make all error paths use "goto err;"

Honestly I'm just trying to shut coverity up about checking
child_devpath for NULL-ness twice on the other two error paths.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_create(): avoid NULL dereference

covscan rightly points out that dp is allowed to be NULL (and so is
buf), so we can't pass those in to memcpy() in those cases.

So don't.

Signed-off-by: Peter Jones <pjones@redhat.com>

Simplify efidp_append_node() even more.

Covscan rightly notices that now we've got enough tests on dp and dn
that some of them are provably dead code.

So take a bunch out.

Signed-off-by: Peter Jones <pjones@redhat.com>

gpt: try to avoid trusting unverified partition table data.

Covscan complains thusly:
 4. efivar-31/src/gpt.c:338: tainted_data_return: Function "alloc_read_gpt_header" returns tainted data.
 7. efivar-31/src/gpt.c:311:2: tainted_data_argument: Function "read_lba" taints argument "gpt".
12. efivar-31/src/gpt.c:245:2: tainted_data_argument: Calling function "read" taints parameter "*iobuf". [Note: The source code implementation of the function has been overridden by a builtin model.]
13. efivar-31/src/gpt.c:246:2: tainted_data_transitive: "memcpy" taints argument "buffer" because argument "iobuf" is tainted. [Note: The source code implementation of the function has been overridden by a builtin model.]
16. efivar-31/src/gpt.c:316:2: return_tainted_data: Returning tainted variable "gpt".
17. efivar-31/src/gpt.c:338: var_assign: Assigning: "*gpt" = "alloc_read_gpt_header", which taints "*gpt".
26. efivar-31/src/gpt.c:382: tainted_data: Passing tainted variable "(*gpt)->num_partition_entries" to a tainted sink.
27. efivar-31/src/gpt.c:272:15: var_assign_alias: Assigning: "count" = "(__u32)(__le32)gpt->num_partition_entries * (__u32)(__le32)gpt->sizeof_partition_entry". Both are now tainted.
30. efivar-31/src/gpt.c:278:2: tainted_data_sink_lv_call: Passing tainted variable "count" to tainted data sink "malloc".

Hopefully this patch validates num_partition_entries and
sizeof_partition_entry well enough...

Signed-off-by: Peter Jones <pjones@redhat.com>

dp.h: Try to make covscan believe format() is checking its bounds.

covscan doesn't grok that size and off wind up being proxies for buf's
NULL check.  Hilarity ensues.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar main(): explain efi_well_known_guids to the compiler better.

Covscan doesn't quite understand that this _is_ an array, so make it
look even more like one.

Signed-off-by: Peter Jones <pjones@redhat.com>

calls to sysfs_readlink(): check linkbuf for NULLness.

If linkbuf were NULL, sysfs_readlink() would have returned an error, but
covscan can't figure that out, so it thinks linkbuf might be NULL.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_args_from_file(): make sure buf is only NULL if size is.

This avoids passing NULL to fread().

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

show_errors(): make the useful part here not be dead code.

Woops.

Signed-off-by: Peter Jones <pjones@redhat.com>

efidp_duplicate_extra(): error if our allocation is too small.

Covscan believes we might pass 0 to calloc(), though I suspect this is
because it doesn't fully grok add().

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_create(): check buf for NULLness.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_variable_import(): constrain our inputs better.

efi_variable_import() could plausibly pass NULL to memcpy() if buf is 0
and size is < 0, though that should never be the case.  Make the input
checking return EINVAL if that's the case.

Found by Covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

makeguids: free our input buffer.

Covscan noticed this, but didn't notice that this is a short lived
program that just parses some tables during the build.  It *sooo*
doesn't matter.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_variable_import(): make sure var.data_size is set.

Covscan noticed that var.data_size isn't set when we memcpy the
structure.  It should be set.

Signed-off-by: Peter Jones <pjones@redhat.com>

efidp_append_path(): error check the right variable.

We do lsz=efidp_size(dp); rsz=efidp_size(dn); and then we error check
lsz twice.  One should be rsz.

We also actually do the whole thing with lsz twice anyway, and fail to
check that dp isn't NULL first.

We're also not error checking that the buffer from our addition is
actually large enough to hold something meaningful.  So do that too.

None of that is right, so fix it.

Covscan completely failed to notice this, but complained about something
irrelevant later on in the code that's a result.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_variable_import(): fix memory leak on failure path.

When one of our allocations fails, we leak the other one.  Woops.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_va_generate_file_device_path_from_esp(): handle errors better.

When efi_va_generate_file_device_path_from_esp() gets an error from
efidp_make_edd10() or make_blockdev_path(), it fails to close the file
descriptor it uses to do ioctl() against the disk.  So make it use the
common error path for those as well.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_generate_file_device_path(): fix one error case's free path.

When efi_generate_file_device_path() gets an error from
find_parent_devpath(), it currently just returns an error, rather than
freeing up its intermediate resources.  So free them.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

gpt_disk_get_partition_info(): free our allocations on the error path.

When gpt_disk_get_partition_info() discovers that a partition is
invalid, it returns error, but it forgets to free its allocations.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

make_mac_path(): fix leaked file descriptor.

When make_mac_path() gets an error from efidp_make_mac_addr(), it fails
to close the file descriptor to the network device.  So close it.  Also
ensure that the ifrn_name field is NUL terminated.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_args_from_file(): fix leaked file descriptor.

In the case where we're just trying to figure out the file's size, we're
failing to close the file.  So close it.

Found by covscan.

Signed-off-by: Peter Jones <pjones@redhat.com>

Update .abixml files

Signed-off-by: Peter Jones <pjones@redhat.com>

Bump version to 31

- Work around NVMe EUI sysfs change
- Provide some oldish version strings we should have kept.
- lots of overflow checking on our pointer math in dp parsing
- fix major/minor device number handling in the linux code
- Do better formatting checks for MBR partitions
- Fixes for gcc 7

Signed-off-by: Peter Jones <pjones@redhat.com>

libefivar: drop conditional include of sys/sysmacros.h

This reverts commit c5685d8d as it has been obsoleted by commit 3ad5aab6.

Signed-off-by: Raymund Will <rw@suse.com>

Make 'make test-archive' do abicheck

Signed-off-by: Peter Jones <pjones@redhat.com>

Make ACPI _ADR encoding/decoding more useful.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add an abicheck makefile rule

This adds an abicheck makefile rule, and puts it in the "make archive"
path.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add some .abixml files

Signed-off-by: Peter Jones <pjones@redhat.com>

Make a target to update .abixml files.

Signed-off-by: Peter Jones <pjones@redhat.com>

Add the ABI tracker to the readme

Signed-off-by: Peter Jones <pjones@redhat.com>

Don't build static by default.

Since lots of distros don't ship static libraries, it's better not to do
this by default.  This also adds "make static" as a top-level build
target.

This fixes github issue #72.

Signed-off-by: Peter Jones <pjones@redhat.com>

Don't call mode optional in the man page any more.

Since it's such a pain to keep optional mode working and we've taken out
the API declaration that makes it possible to use in new code, take it
out of the docs as well.

This fixes github issue #73

Signed-off-by: Peter Jones <pjones@redhat.com>

Also provide LIBEFIVAR_1.2X even though nothing really uses it.

We've exported these names before, so we still have to have them.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make AcpiAdr() device paths format correctly for display.

Signed-off-by: Peter Jones <pjones@redhat.com>

Use -z muldefs to avoid the multiple definitions bug without -flto

This fixes github issue #64

Signed-off-by: Peter Jones <pjones@redhat.com>

Make sure we define the version for new symbols recently added...

Because symbol versioning is a nightmare, this tool has shown that we've
got an error where we changed the version on some things by accident:

https://abi-laboratory.pro/tracker/compat_report/efivar/29/30/e3de7/abi_compat_report.html

Make those keep the 1.30 version forever.

Signed-off-by: Peter Jones <pjones@redhat.com>

New gcc version, new way symbol versioning breaks.

Apparently I get to redo this every time there's a compiler release.
Yaaaaaay.

Anyway, the current method is to define the two compat things from the
land before time as @libefivar.so.0 symbols and list them there in the
link map.  Then we have the real one defined with another name, and set
as efi_set_variable@@LIBEFIVAR_0.24.  Then to make there actually be a
efi_set_variable symbol to link against, we create it as a weak alias.

This is all completely absurd.

Signed-off-by: Peter Jones <pjones@redhat.com>

Remove some extra "const" that gcc complains about.

One of these days I'll get these right.

Signed-off-by: Peter Jones <pjones@redhat.com>

Fix some allocation bounds checking gcc 7.x finds sometimes.

gcc 7.0.1 has -Walloca-larger-than=N and -Walloc-size-larger-than=N
flags that -O2 enables now, and they try to bounds check arguments to
alloca() and malloc().

Unfortunately they have horrible error messages, so you get:

dp-message.c: In function ‘_format_message_dn’:
dp-message.c:422:9: error: argument 1 range [9223372036854775809, 18446744073709551615] exceeds maximum object size 9223372036854775807 [-Werror=alloc-size-larger-than=]
   addr0 = alloca(sz+1);
         ^
dp-message.c:422:9: note: in a call to built-in allocation function ‘__builtin_alloca’

When what it means is:

 Check for error you nitwit.  Now I'm going to tell you a pile of math
 we did that isn't useful to you at all.

And also:

dp-message.c:466:3: error: argument 1 value ‘18446744073709551606’ exceeds maximum object size 9223372036854775807 [-Werror=alloc-size-larger-than=]
   format_ucs2(buf, size, off, "UsbWwid",
   ^
dp-message.c:466:3: note: in a call to built-in allocation function ‘__builtin_alloca_with_align’
dp-message.c:466:3: error: ‘memset’: specified size 18446744073709551606 exceeds maximum object size 9223372036854775807 [-Werror=stringop-overflow=]
dp-message.c:466:3: error: ‘memcpy’: specified size 18446744073709551604 exceeds maximum object size 9223372036854775807 [-Werror=stringop-overflow=]

Which actually means:

 You accidentally made the predicating check for bounds be against a
 signed value Now I'm going to tell you a pile of useless data about
 where you later used the result instead of telling you about the
 problem.

Anyway, this fixes it.

Signed-off-by: Peter Jones <pjones@redhat.com>

format_media_dn: Fix formatting of disk signature for MBR partitions

The previous logic sign-extended the least-significant byte of the disk
signature and returned a decimal number prefixed with "0x", producing
nonsense like this:

    # blkid -o value -s PTUUID /dev/sdb
    927a7490
    # efibootmgr -v | grep debian
    Boot0002* debian HD(3,MBR,0x4294967184,0xe89c0000,0x100000)/File(\EFI\debian\grubx64.efi)
    # python -c 'print hex(4294967184)'
    0xffffff90

With this change, it works properly:

    Boot0002* debian HD(3,MBR,0x927a7490,0xe89c0000,0x100000)/File(\EFI\debian\grubx64.efi)

Signed-off-by: Dwayne Litzenberger <dlitz@dlitz.net>

linux: fix device major/minor handling.

The current code fails when minor >= 256 because the higher
bits are kept in major.

Fix: Debian bug #844237

_format_message_dn(): fix the check for a label in the EFIDP_MSG_VENDOR case.

Signed-off-by: Peter Jones <pjones@redhat.com>

efidp_is_multiinstance(): check for efidp_next_node() == 0 in our iter

GCC doesn't seem to want to believe that the NULL and length tests in
in efidp_is_multiinstance()->efidp_next_node()->efidp_node_size()
actually catches things, Possibly because it wouldn't be acted on until
the next iteration through the loop.   So check that case explicitly in
efidp_is_multiinstance().  Also forcibly set 'next' to NULL, to ensure
efidp_next_node() will catch it.

Signed-off-by: Peter Jones <pjones@redhat.com>

efidp_*(): make everything that does pointer math check for overflow.

None of these overflows will really happen in the real world, because
they depend on the address of the next-to-last efidp_header being 4
bytes from the top of memory, but check them anyway.

Signed-off-by: Peter Jones <pjones@redhat.com>

lib*: provide LIBEFIVAR_1.28 etc.

Signed-off-by: Peter Jones <pjones@redhat.com>

Check for the NVMe EUI in the base sysfs dir for the device as well

Kernel commit 779ff75617099f4defe14e20443b95019a4c5ae8 moves the NVMe
attributes from being under nvme0n1/device/* to just being in the
nvme0n1/ directory.  So now we get to check for both things.  Thanks,
sysfs.

This resolves github issue #65
This resolves https://github.com/rhinstaller/efibootmgr/issues/48

Signed-off-by: Peter Jones <pjones@redhat.com>

Bump version to 30

- Fix efidp_*() functions with __pure__ that break with some optimizations
- Fix NVMe EUI parsing.

Signed-off-by: Peter Jones <pjones@redhat.com>

Don't use __pure__ on efidp_*() functions.

The compiler keeps introducing off by one errors with -O2 but not with
-Og and I'm not sure why, so just don't do this optimization.

Signed-off-by: Peter Jones <pjones@redhat.com>

linux: Fix NVMe EUI parsing from sysfs

The kernel uses space as separators, whereas for some reason I'd coded
the parser to expect dashes.

Fixes the last thing from https://github.com/rhinstaller/efibootmgr/issues/48

Signed-off-by: Peter Jones <pjones@redhat.com>

Bump version to 29

- Use -pie not -PIE in our linker config
- Fix some overflow checks for gcc < 5.x
- Make variable class probes other than the first one actually work
- Move -flto to CFLAGS
- Pack all of the efi device path headers
- Fix redundant decl of efi_guid_zero()

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: Actually add the packed attribute everywhere.

Apparently 9b3155b095 was not enough, so pack all the device path
structures.

Signed-off-by: Peter Jones <pjones@redhat.com>

Fix redundant decl of efi_guid_zero.

This fixes github issue #62

Signed-off-by: Peter Jones <pjones@redhat.com>

All of our efi device path headers need to be packed.

So just pack efidp_header and be done with it.

Signed-off-by: Peter Jones <pjones@redhat.com>

Move -flto to CFLAGS

LTO is an optimization that is not always desired. This allows it to be
easily disabled.

libefivar/libs.c:probe(): Fix the case where the first probe fails.

When adding efi_set_error() support, I accidentally changed it to treat
a probe failure as a success, which winds up meaning you always try
efivarfs even if the probe failed.

Fixes github issue https://github.com/rhinstaller/efibootmgr/issues/54
Fixes https://bugs.gentoo.org/show_bug.cgi?id=591864

Signed-off-by: Peter Jones <pjones@redhat.com>

Fix some cases of our overflow checkers in add_int() etc for gcc < 5

Basically do all the comparisons in our add checkers in "unsigned long
long" space.

Resolves github issue #58.

Signed-off-by: Peter Jones <pjones@redhat.com>

gcc.specs: link: change '-PIE' to '-pie' and drop '-PIC'

The ld manual does not mention -PIE or -PIC, and ld.gold fails when passed
either option.

The gcc manual mentions that -pie should be passed when linking objects
compiled with -fPIE.

Resolves: https://github.com/rhinstaller/efivar/issues/57

Bump version to 28

But bump our soname to lib$FOO.1 so it doesn't change constantly.

Signed-off-by: Peter Jones <pjones@redhat.com>

Make soname always libfoo.1 not libfoo.102312231.

Having the minor version change all the time makes sense.  Having the
soname change does not.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar 27

- Bug fix for 086eeb17 in efivar 26.

Signed-off-by: Peter Jones <pjones@redhat.com>

creator/find_file(): fix the fix in 086eeb17

086eeb17 was right about needing a continue, but it still did actually
need >= instead of !=, because it's looking for a subset.

Signed-off-by: Peter Jones <pjones@redhat.com>

util.h: add int_add for 32-bit platforms

Release efivar 26

- Rework version numbers.
- Add error tracking API.
- Remove use of deprecated readdir_r
- SATA device path fixes.
- Use symmacros.h to make newer compilers happy
- Fix a bug in efidp_size() double-counting End nodes sometimes.
- Handle nonnull comparisons in the headers more gracefully.

gcc: handle the nonnull comparison issue more gracefully.

Signed-off-by: Peter Jones <pjones@redhat.com>

efi_loadopt_optional_data_size: add efi_error() trace code

Signed-off-by: Peter Jones <pjones@redhat.com>

efidp_size: don't count the end node twice.

Signed-off-by: Peter Jones <pjones@redhat.com>

libefivar: use sysmacros.h

Signed-off-by: Peter Jones <pjones@redhat.com>

Use efi_error() at lots of places.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar: add an api to inspect errors that occurred in more detail.

I'm tired of manually debugging everything in the world, so add this API
that gives our callers more detail and verbosity about errors that
occur.

Signed-off-by: Peter Jones <pjones@redhat.com>

dp.h: make our format() macro adjust "off" automatically.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: add a bunch of compiler hints as function attributes.

Signed-off-by: Peter Jones <pjones@redhat.com>

efivar-dp.h: make our iterators/size checkers a bit saner

Signed-off-by: Peter Jones <pjones@redhat.com>

dp-message: make format_ipv6_port_helper() use the common formatting macros.

Signed-off-by: Peter Jones <pjones@redhat.com>

dp-*: fix some wrong size_t vs ssize_t usage.

Signed-off-by: Peter Jones <pjones@redhat.com>

util.h: add some math utilities

Signed-off-by: Peter Jones <pjones@redhat.com>

sata device paths: treat the kernel's ata device number as 1-indexed.

Fix yet another place where this being 1-indexed in the linux kernel but
not anywhere else burns us.

Signed-off-by: Peter Jones <pjones@redhat.com>

Correctly handle Sata() device paths PMPN sentinal value.

We rarely wind up writing a full Sata() device path, so nobody noticed
that for the SATA PMPN (port multiplier number) sentinal value that
means "no port multiplier", i.e. the normal case, we were storing 0x8000
instead of 0xffff, and that's not correct.

Partially fixes github issue#47 .

Signed-off-by: Peter Jones <pjones@redhat.com>

creator/find_file(): fix an incorrect error that gets raised.

In find_file(), when we're trying to find the device that matches a
mountpoint, we incorrectly raise an error when we find an entry that's
got a longer name than the one we want.  This is incorrect - it's a
special case of what Lans Zhang was fixing in 8eac2d51, in fact.

This case should just reject *that* entry, not set an error and end the
iteration.

Signed-off-by: Peter Jones <pjones@redhat.com>

Remove use of deprecated readdir_r

Signed-off-by: Andreas Schwab <schwab@suse.de>

Get rid of "0." and just make the next version be 25.

Seemed easier than deciding what a 1.0 will look like ;)

Signed-off-by: Peter Jones <pjones@redhat.com>