lib/c-stack.c

   1 /* Stack overflow handling.
   2
   3    Copyright (C) 2002, 2004, 2006, 2008 Free Software Foundation, Inc.
   4
   5    This program is free software: you can redistribute it and/or modify
   6    it under the terms of the GNU General Public License as published by
   7    the Free Software Foundation; either version 3 of the License, or
   8    (at your option) any later version.
   9
  10    This program is distributed in the hope that it will be useful,
  11    but WITHOUT ANY WARRANTY; without even the implied warranty of
  12    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  13    GNU General Public License for more details.
  14
  15    You should have received a copy of the GNU General Public License
  16    along with this program.  If not, see <http://www.gnu.org/licenses/>.  */
  17
  18 /* Written by Paul Eggert.  */
  19
  20 /* NOTES:
  21
  22    A program that uses alloca, dynamic arrays, or large local
  23    variables may extend the stack by more than a page at a time.  If
  24    so, when the stack overflows the operating system may not detect
  25    the overflow until the program uses the array, and this module may
  26    incorrectly report a program error instead of a stack overflow.
  27
  28    To avoid this problem, allocate only small objects on the stack; a
  29    program should be OK if it limits single allocations to a page or
  30    less.  Allocate larger arrays in static storage, or on the heap
  31    (e.g., with malloc).  Yes, this is a pain, but we don't know of any
  32    better solution that is portable.
  33
  34    No attempt has been made to deal with multithreaded applications.  */
  35
  36 #include <config.h>
  37
  38 #ifndef __attribute__
  39 # if __GNUC__ < 3
  40 #  define __attribute__(x)
  41 # endif
  42 #endif
  43
  44 #include "gettext.h"
  45 #define _(msgid) gettext (msgid)
  46
  47 #include <errno.h>
  48 #ifndef ENOTSUP
  49 # define ENOTSUP EINVAL
  50 #endif
  51
  52 #include <signal.h>
  53 #if ! HAVE_STACK_T && ! defined stack_t
  54 typedef struct sigaltstack stack_t;
  55 #endif
  56 #ifndef SIGSTKSZ
  57 # define SIGSTKSZ 16384
  58 #endif
  59
  60 #include <stdlib.h>
  61 #include <string.h>
  62
  63 /* Posix 2001 declares ucontext_t in <ucontext.h>, Posix 200x in
  64    <signal.h>.  */
  65 #if HAVE_UCONTEXT_H
  66 # include <ucontext.h>
  67 #endif
  68
  69 #include <unistd.h>
  70 #ifndef STDERR_FILENO
  71 # define STDERR_FILENO 2
  72 #endif
  73
  74 #if HAVE_LIBSIGSEGV
  75 # include <sigsegv.h>
  76 #endif
  77
  78 #include "c-stack.h"
  79 #include "exitfail.h"
  80
  81 #if defined SA_ONSTACK && defined SA_SIGINFO
  82 # define SIGACTION_WORKS 1
  83 #else
  84 # define SIGACTION_WORKS 0
  85 # ifndef SA_ONSTACK
  86 #  define SA_ONSTACK 0
  87 # endif
  88 #endif
  89
  90 extern char *program_name;
  91
  92 /* The user-specified action to take when a SEGV-related program error
  93    or stack overflow occurs.  */
  94 static void (* volatile segv_action) (int);
  95
  96 /* Translated messages for program errors and stack overflow.  Do not
  97    translate them in the signal handler, since gettext is not
  98    async-signal-safe.  */
  99 static char const * volatile program_error_message;
 100 static char const * volatile stack_overflow_message;
 101
 102 /* Output an error message, then exit with status EXIT_FAILURE if it
 103    appears to have been a stack overflow, or with a core dump
 104    otherwise.  This function is async-signal-safe.  */
 105
 106 static void die (int) __attribute__ ((noreturn));
 107 static void
 108 die (int signo)
 109 {
 110   char const *message;
 111   segv_action (signo);
 112   message = signo ? program_error_message : stack_overflow_message;
 113   write (STDERR_FILENO, program_name, strlen (program_name));
 114   write (STDERR_FILENO, ": ", 2);
 115   write (STDERR_FILENO, message, strlen (message));
 116   write (STDERR_FILENO, "\n", 1);
 117   if (! signo)
 118     _exit (exit_failure);
 119   raise (signo);
 120   abort ();
 121 }
 122
 123 #if (HAVE_SIGALTSTACK && HAVE_DECL_SIGALTSTACK \
 124      && HAVE_STACK_OVERFLOW_HANDLING) || HAVE_LIBSIGSEGV
 125
 126 /* Storage for the alternate signal stack.  */
 127 static union
 128 {
 129   char buffer[SIGSTKSZ];
 130
 131   /* These other members are for proper alignment.  There's no
 132      standard way to guarantee stack alignment, but this seems enough
 133      in practice.  */
 134   long double ld;
 135   long l;
 136   void *p;
 137 } alternate_signal_stack;
 138
 139 static void
 140 null_action (int signo __attribute__ ((unused)))
 141 {
 142 }
 143
 144 #endif /* SIGALTSTACK || LIBSIGSEGV */
 145
 146 /* Only use libsigsegv if we need it; platforms like Solaris can
 147    detect stack overflow without the overhead of an external
 148    library.  */
 149 #if HAVE_LIBSIGSEGV && ! HAVE_XSI_STACK_OVERFLOW_HEURISTIC
 150
 151 /* Nonzero if general segv handler could not be installed.  */
 152 static volatile int segv_handler_missing;
 153
 154 /* Handle a segmentation violation and exit if it cannot be stack
 155    overflow.  This function is async-signal-safe.  */
 156
 157 static int segv_handler (void *address __attribute__ ((unused)),
 158                          int serious)
 159 {
 160 # if DEBUG
 161   {
 162     char buf[1024];
 163     sprintf (buf, "segv_handler serious=%d\n", serious);
 164     write (STDERR_FILENO, buf, strlen (buf));
 165   }
 166 # endif
 167
 168   /* If this fault is not serious, return 0 to let the stack overflow
 169      handler take a shot at it.  */
 170   if (!serious)
 171     return 0;
 172   die (SIGSEGV);
 173 }
 174
 175 /* Handle a segmentation violation that is likely to be a stack
 176    overflow and exit.  This function is async-signal-safe.  */
 177
 178 static void overflow_handler (int, stackoverflow_context_t)
 179   __attribute__ ((noreturn));
 180 static void
 181 overflow_handler (int emergency,
 182                   stackoverflow_context_t context __attribute__ ((unused)))
 183 {
 184 # if DEBUG
 185   {
 186     char buf[1024];
 187     sprintf (buf, "overflow_handler emergency=%d segv_handler_missing=%d\n",
 188              emergency, segv_handler_missing);
 189     write (STDERR_FILENO, buf, strlen (buf));
 190   }
 191 # endif
 192
 193   die ((!emergency || segv_handler_missing) ? 0 : SIGSEGV);
 194 }
 195
 196 int
 197 c_stack_action (void (*action) (int))
 198 {
 199   segv_action = action ? action : null_action;
 200   program_error_message = _("program error");
 201   stack_overflow_message = _("stack overflow");
 202
 203   /* Always install the overflow handler.  */
 204   if (stackoverflow_install_handler (overflow_handler,
 205                                      alternate_signal_stack.buffer,
 206                                      sizeof alternate_signal_stack.buffer))
 207     {
 208       errno = ENOTSUP;
 209       return -1;
 210     }
 211   /* Try installing a general handler; if it fails, then treat all
 212      segv as stack overflow.  */
 213   segv_handler_missing = sigsegv_install_handler (segv_handler);
 214   return 0;
 215 }
 216
 217 #elif HAVE_SIGALTSTACK && HAVE_DECL_SIGALTSTACK && HAVE_STACK_OVERFLOW_HANDLING
 218
 219 /* Direction of the C runtime stack.  This function is
 220    async-signal-safe.  */
 221
 222 # if STACK_DIRECTION
 223 #  define find_stack_direction(ptr) STACK_DIRECTION
 224 # else
 225 static int
 226 find_stack_direction (char const *addr)
 227 {
 228   char dummy;
 229   return ! addr ? find_stack_direction (&dummy) : addr < &dummy ? 1 : -1;
 230 }
 231 # endif
 232
 233 # if SIGACTION_WORKS
 234
 235 /* Handle a segmentation violation and exit.  This function is
 236    async-signal-safe.  */
 237
 238 static void segv_handler (int, siginfo_t *, void *) __attribute__((noreturn));
 239 static void
 240 segv_handler (int signo, siginfo_t *info,
 241               void *context __attribute__ ((unused)))
 242 {
 243   /* Clear SIGNO if it seems to have been a stack overflow.  */
 244   if (0 < info->si_code)
 245     {
 246 #  if ! HAVE_XSI_STACK_OVERFLOW_HEURISTIC
 247       /* We can't easily determine whether it is a stack overflow; so
 248          assume that the rest of our program is perfect (!) and that
 249          this segmentation violation is a stack overflow.
 250
 251          Note that although both Linux and Solaris provide
 252          sigaltstack, SA_ONSTACK, and SA_SIGINFO, currently only
 253          Solaris satisfies the XSI heueristic.  This is because
 254          Solaris populates uc_stack with the details of the
 255          interrupted stack, while Linux populates it with the details
 256          of the current stack.  */
 257       signo = 0;
 258 #  else
 259       /* If the faulting address is within the stack, or within one
 260          page of the stack end, assume that it is a stack
 261          overflow.  */
 262       ucontext_t const *user_context = context;
 263       char const *stack_base = user_context->uc_stack.ss_sp;
 264       size_t stack_size = user_context->uc_stack.ss_size;
 265       char const *faulting_address = info->si_addr;
 266       size_t s = faulting_address - stack_base;
 267       size_t page_size = sysconf (_SC_PAGESIZE);
 268       if (find_stack_direction (NULL) < 0)
 269         s += page_size;
 270       if (s < stack_size + page_size)
 271         signo = 0;
 272
 273 #   if DEBUG
 274       {
 275         char buf[1024];
 276         sprintf (buf,
 277                  "segv_handler fault=%p base=%p size=%lx page=%lx signo=%d\n",
 278                  faulting_address, stack_base, (unsigned long) stack_size,
 279                  (unsigned long) page_size, signo);
 280         write (STDERR_FILENO, buf, strlen (buf));
 281       }
 282 #   endif
 283 #  endif
 284     }
 285
 286   die (signo);
 287 }
 288 # endif
 289
 290 int
 291 c_stack_action (void (*action) (int))
 292 {
 293   int r;
 294   stack_t st;
 295   struct sigaction act;
 296   st.ss_flags = 0;
 297 # if SIGALTSTACK_SS_REVERSED
 298   /* Irix mistakenly treats ss_sp as the upper bound, rather than
 299      lower bound, of the alternate stack.  */
 300   st.ss_sp = alternate_signal_stack.buffer + SIGSTKSZ - sizeof (void *);
 301   st.ss_size = sizeof alternate_signal_stack.buffer - sizeof (void *);
 302 # else
 303   st.ss_sp = alternate_signal_stack.buffer;
 304   st.ss_size = sizeof alternate_signal_stack.buffer;
 305 # endif
 306   r = sigaltstack (&st, NULL);
 307   if (r != 0)
 308     return r;
 309
 310   segv_action = action ? action : null_action;
 311   program_error_message = _("program error");
 312   stack_overflow_message = _("stack overflow");
 313
 314   sigemptyset (&act.sa_mask);
 315
 316 # if SIGACTION_WORKS
 317   /* POSIX 1003.1-2001 says SA_RESETHAND implies SA_NODEFER, but
 318      this is not true on Solaris 8 at least.  It doesn't hurt to use
 319      SA_NODEFER here, so leave it in.  */
 320   act.sa_flags = SA_NODEFER | SA_ONSTACK | SA_RESETHAND | SA_SIGINFO;
 321   act.sa_sigaction = segv_handler;
 322 # else
 323   act.sa_flags = SA_NODEFER | SA_ONSTACK | SA_RESETHAND;
 324   act.sa_handler = die;
 325 # endif
 326
 327 # if FAULT_YIELDS_SIGBUS
 328   if (sigaction (SIGBUS, &act, NULL) < 0)
 329     return -1;
 330 # endif
 331   return sigaction (SIGSEGV, &act, NULL);
 332 }
 333
 334 #else /* ! ((HAVE_SIGALTSTACK && HAVE_DECL_SIGALTSTACK
 335              && HAVE_STACK_OVERFLOW_HANDLING) || HAVE_LIBSIGSEGV) */
 336
 337 int
 338 c_stack_action (void (*action) (int)  __attribute__ ((unused)))
 339 {
 340   errno = ENOTSUP;
 341   return -1;
 342 }
 343
 344 #endif