projects / project / ubus.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: 9ec9cfc) | patch
ubusd: convert tx_queue to linked list
authorArnout Vandecappelle (Essensium/Mind) <arnout@mind.be>
Thu, 25 Mar 2021 21:45:01 +0000 (22:45 +0100)
committerPetr Štetiar <ynezz@true.cz>
Thu, 3 Jun 2021 08:01:19 +0000 (10:01 +0200)
commitef9950cc422f2fa9365c6cd57a1408f7f234bc20
treec9f9e5ff8a2fda07d4d05a3f9241956c6ca43781tree | snapshot
parent9ec9cfc6574a197ea934489de056594f44088352commit | diff
ubusd: convert tx_queue to linked list

ubusd maintains a per-client tx_queue containing references to message
buffers that have not been sent yet (due to the socket blocking). This
is a fixed-size, 64-element queue.

When more than 64 elements are queued, subsequent elements are simply
dropped. Thus, a client that is waiting for those messages will block
indefinitely. In particular, this happens when more than +- 250 objects
are registered on the bus and either "ubus list" or "ubus wait_for" is
called. The responses to these requests consist of a message buffer per
object. Since in practice, ubusd will not yield between the sends of
these message buffers, the client has no time to process them and
eventually the output socket blocks. After 64 more objects, the rest is
dropped, including the final message that indicates termination. Thus,
the client waits indefinitely for the termination message.

To solve this, turn the tx_queue into a variable-sized linked list
instead of a fixed-size queue.

To maintain the linked list, an additional structure ubus_msg_buf_list
is created. It is not possible to add the linked list to ubus_msg_buf,
because that is shared between clients.

Note that this infinite tx_queue opens the door to a DoS attack. You can
open a client and a server connection, then send messages from the
client to the server without ever reading anything on the server side.
This will eventually lead to an out-of-memory. However, such a DoS
already existed anyway, it just requires opening multiple server
connections and filling up the fixed-size queue on each one. To protect
against such DoS attacks, we'd need to:
- keep a global maximum queue size that applies to all rx and tx queues
  together;
- stop reading from any connection when the maximum is reached;
- close any connection when it hasn't become writeable after some
  timeout.

Fixes: https://bugs.openwrt.org/index.php?do=details&task_id=1525
Signed-off-by: Arnout Vandecappelle (Essensium/Mind) <arnout@mind.be>
(cherry picked from commit 4becbd67de5867ec32a53cb15566a6ef505f4619)
ubusd.c diff | blob | history
ubusd.h diff | blob | history
ubusd_main.c diff | blob | history
ubusd_proto.c diff | blob | history
OpenWrt system message/RPC bus