archival/libarchive/get_header_tar.c

   1 /* vi: set sw=4 ts=4: */
   2 /*
   3  * Licensed under GPLv2 or later, see file LICENSE in this source tree.
   4  *
   5  * FIXME:
   6  *    In privileged mode if uname and gname map to a uid and gid then use the
   7  *    mapped value instead of the uid/gid values in tar header
   8  *
   9  * References:
  10  *    GNU tar and star man pages,
  11  *    Opengroup's ustar interchange format,
  12  *    http://www.opengroup.org/onlinepubs/007904975/utilities/pax.html
  13  */
  14 #include "libbb.h"
  15 #include "bb_archive.h"
  16
  17 typedef uint32_t aliased_uint32_t FIX_ALIASING;
  18 typedef off_t    aliased_off_t    FIX_ALIASING;
  19
  20 /* NB: _DESTROYS_ str[len] character! */
  21 static unsigned long long getOctal(char *str, int len)
  22 {
  23         unsigned long long v;
  24         char *end;
  25         /* NB: leading spaces are allowed. Using strtoull to handle that.
  26          * The downside is that we accept e.g. "-123" too :(
  27          */
  28         str[len] = '\0';
  29         v = strtoull(str, &end, 8);
  30         /* std: "Each numeric field is terminated by one or more
  31          * <space> or NUL characters". We must support ' '! */
  32         if (*end != '\0' && *end != ' ') {
  33                 int8_t first = str[0];
  34                 if (!(first & 0x80))
  35                         bb_simple_error_msg_and_die("corrupted octal value in tar header");
  36                 /*
  37                  * GNU tar uses "base-256 encoding" for very large numbers.
  38                  * Encoding is binary, with highest bit always set as a marker
  39                  * and sign in next-highest bit:
  40                  * 80 00 .. 00 - zero
  41                  * bf ff .. ff - largest positive number
  42                  * ff ff .. ff - minus 1
  43                  * c0 00 .. 00 - smallest negative number
  44                  *
  45                  * Example of tar file with 8914993153 (0x213600001) byte file.
  46                  * Field starts at offset 7c:
  47                  * 00070  30 30 30 00 30 30 30 30  30 30 30 00 80 00 00 00  |000.0000000.....|
  48                  * 00080  00 00 00 02 13 60 00 01  31 31 31 32 30 33 33 36  |.....`..11120336|
  49                  *
  50                  * NB: tarballs with NEGATIVE unix times encoded that way were seen!
  51                  */
  52                 /* Sign-extend 7bit 'first' to 64bit 'v' (that is, using 6th bit as sign): */
  53                 first <<= 1;
  54                 first >>= 1; /* now 7th bit = 6th bit */
  55                 v = first;   /* sign-extend 8 bits to 64 */
  56                 while (--len != 0)
  57                         v = (v << 8) + (uint8_t) *++str;
  58         }
  59         return v;
  60 }
  61 #define GET_OCTAL(a) getOctal((a), sizeof(a))
  62
  63 #define TAR_EXTD (ENABLE_FEATURE_TAR_GNU_EXTENSIONS || ENABLE_FEATURE_TAR_SELINUX)
  64 #if !TAR_EXTD
  65 #define process_pax_hdr(archive_handle, sz, global) \
  66         process_pax_hdr(archive_handle, sz)
  67 #endif
  68 /* "global" is 0 or 1 */
  69 static void process_pax_hdr(archive_handle_t *archive_handle, unsigned sz, int global)
  70 {
  71 #if !TAR_EXTD
  72         unsigned blk_sz = (sz + 511) & (~511);
  73         seek_by_read(archive_handle->src_fd, blk_sz);
  74 #else
  75         unsigned blk_sz = (sz + 511) & (~511);
  76         char *buf, *p;
  77
  78         p = buf = xmalloc(blk_sz + 1);
  79         xread(archive_handle->src_fd, buf, blk_sz);
  80         archive_handle->offset += blk_sz;
  81
  82         /* prevent bb_strtou from running off the buffer */
  83         buf[sz] = '\0';
  84
  85         while (sz != 0) {
  86                 char *end, *value;
  87                 unsigned len;
  88
  89                 /* Every record has this format: "LEN NAME=VALUE\n" */
  90                 len = bb_strtou(p, &end, 10);
  91                 /* expect errno to be EINVAL, because the character
  92                  * following the digits should be a space
  93                  */
  94                 p += len;
  95                 sz -= len;
  96                 if (
  97                 /** (int)sz < 0 - not good enough for huge malicious VALUE of 2^32-1 */
  98                     (int)(sz|len) < 0 /* this works */
  99                  || len == 0
 100                  || errno != EINVAL
 101                  || *end != ' '
 102                 ) {
 103                         bb_simple_error_msg("malformed extended header, skipped");
 104                         // More verbose version:
 105                         //bb_error_msg("malformed extended header at %"OFF_FMT"d, skipped",
 106                         //              archive_handle->offset - (sz + len));
 107                         break;
 108                 }
 109                 /* overwrite the terminating newline with NUL
 110                  * (we do not bother to check that it *was* a newline)
 111                  */
 112                 p[-1] = '\0';
 113                 value = end + 1;
 114
 115 # if ENABLE_FEATURE_TAR_GNU_EXTENSIONS
 116                 if (!global) {
 117                         if (is_prefixed_with(value, "path=")) {
 118                                 value += sizeof("path=") - 1;
 119                                 free(archive_handle->tar__longname);
 120                                 archive_handle->tar__longname = xstrdup(value);
 121                                 continue;
 122                         }
 123                         if (is_prefixed_with(value, "linkpath=")) {
 124                                 value += sizeof("linkpath=") - 1;
 125                                 free(archive_handle->tar__linkname);
 126                                 archive_handle->tar__linkname = xstrdup(value);
 127                                 continue;
 128                         }
 129                 }
 130 # endif
 131
 132 # if ENABLE_FEATURE_TAR_SELINUX
 133                 /* Scan for SELinux contexts, via "RHT.security.selinux" keyword.
 134                  * This is what Red Hat's patched version of tar uses.
 135                  */
 136 #  define SELINUX_CONTEXT_KEYWORD "RHT.security.selinux"
 137                 if (is_prefixed_with(value, SELINUX_CONTEXT_KEYWORD"=")) {
 138                         value += sizeof(SELINUX_CONTEXT_KEYWORD"=") - 1;
 139                         free(archive_handle->tar__sctx[global]);
 140                         archive_handle->tar__sctx[global] = xstrdup(value);
 141                         continue;
 142                 }
 143 # endif
 144         }
 145
 146         free(buf);
 147 #endif
 148 }
 149
 150 char FAST_FUNC get_header_tar(archive_handle_t *archive_handle)
 151 {
 152         file_header_t *file_header = archive_handle->file_header;
 153         struct tar_header_t tar;
 154         char *cp;
 155         int tar_typeflag; /* can be "char", "int" seems give smaller code */
 156         int i, sum_u, sum;
 157 #if ENABLE_FEATURE_TAR_OLDSUN_COMPATIBILITY
 158         int sum_s;
 159 #endif
 160         int parse_names;
 161
 162         /* Our "private data" */
 163 #if ENABLE_FEATURE_TAR_GNU_EXTENSIONS
 164 # define p_longname (archive_handle->tar__longname)
 165 # define p_linkname (archive_handle->tar__linkname)
 166 #else
 167 # define p_longname 0
 168 # define p_linkname 0
 169 #endif
 170
 171 #if ENABLE_FEATURE_TAR_GNU_EXTENSIONS || ENABLE_FEATURE_TAR_SELINUX
 172  again:
 173 #endif
 174         /* Align header */
 175         data_align(archive_handle, 512);
 176
 177  again_after_align:
 178
 179 #if ENABLE_DESKTOP || ENABLE_FEATURE_TAR_AUTODETECT
 180         /* to prevent misdetection of bz2 sig */
 181         *(aliased_uint32_t*)&tar = 0;
 182         i = full_read(archive_handle->src_fd, &tar, 512);
 183         /* If GNU tar sees EOF in above read, it says:
 184          * "tar: A lone zero block at N", where N = kilobyte
 185          * where EOF was met (not EOF block, actual EOF!),
 186          * and exits with EXIT_SUCCESS.
 187          * We will mimic exit(EXIT_SUCCESS), although we will not mimic
 188          * the message and we don't check whether we indeed
 189          * saw zero block directly before this. */
 190         if (i == 0) {
 191                 /* GNU tar 1.29 will be silent if tar archive ends abruptly
 192                  * (if there are no zero blocks at all, and last read returns zero,
 193                  * not short read 0 < len < 512). Complain only if
 194                  * the very first read fails. Grrr.
 195                  */
 196                 if (archive_handle->offset == 0)
 197                         bb_simple_error_msg("short read");
 198                 /* this merely signals end of archive, not exit(1): */
 199                 return EXIT_FAILURE;
 200         }
 201         if (i != 512) {
 202                 IF_FEATURE_TAR_AUTODETECT(goto autodetect;)
 203                 bb_simple_error_msg_and_die("short read");
 204         }
 205
 206 #else
 207         i = 512;
 208         xread(archive_handle->src_fd, &tar, i);
 209 #endif
 210         archive_handle->offset += i;
 211
 212         /* If there is no filename its an empty header */
 213         if (tar.name[0] == 0 && tar.prefix[0] == 0
 214         /* Have seen a tar archive with pax 'x' header supplying UTF8 filename,
 215          * with actual file having all name fields NUL-filled. Check this: */
 216          && !p_longname
 217         ) {
 218                 if (archive_handle->tar__end) {
 219                         /* Second consecutive empty header - end of archive.
 220                          * Read until the end to empty the pipe from gz or bz2
 221                          */
 222                         while (full_read(archive_handle->src_fd, &tar, 512) == 512)
 223                                 continue;
 224                         return EXIT_FAILURE; /* "end of archive" */
 225                 }
 226                 archive_handle->tar__end = 1;
 227                 return EXIT_SUCCESS; /* "decoded one header" */
 228         }
 229         archive_handle->tar__end = 0;
 230
 231         /* Check header has valid magic, "ustar" is for the proper tar,
 232          * five NULs are for the old tar format  */
 233         if (!is_prefixed_with(tar.magic, "ustar")
 234          && (!ENABLE_FEATURE_TAR_OLDGNU_COMPATIBILITY
 235              || memcmp(tar.magic, "\0\0\0\0", 5) != 0)
 236         ) {
 237 #if ENABLE_FEATURE_TAR_AUTODETECT
 238  autodetect:
 239                 /* Two different causes for lseek() != 0:
 240                  * unseekable fd (would like to support that too, but...),
 241                  * or not first block (false positive, it's not .gz/.bz2!) */
 242                 if (lseek(archive_handle->src_fd, -i, SEEK_CUR) != 0)
 243                         goto err;
 244                 if (setup_unzip_on_fd(archive_handle->src_fd, /*fail_if_not_compressed:*/ 0) != 0)
 245  err:
 246                         bb_simple_error_msg_and_die("invalid tar magic");
 247                 archive_handle->offset = 0;
 248                 goto again_after_align;
 249 #endif
 250                 bb_simple_error_msg_and_die("invalid tar magic");
 251         }
 252
 253         /* Do checksum on headers.
 254          * POSIX says that checksum is done on unsigned bytes, but
 255          * Sun and HP-UX gets it wrong... more details in
 256          * GNU tar source. */
 257         sum_u = ' ' * sizeof(tar.chksum);
 258 #if ENABLE_FEATURE_TAR_OLDSUN_COMPATIBILITY
 259         sum_s = sum_u;
 260 #endif
 261         for (i = 0; i < 148; i++) {
 262                 sum_u += ((unsigned char*)&tar)[i];
 263 #if ENABLE_FEATURE_TAR_OLDSUN_COMPATIBILITY
 264                 sum_s += ((signed char*)&tar)[i];
 265 #endif
 266         }
 267         for (i = 156; i < 512; i++) {
 268                 sum_u += ((unsigned char*)&tar)[i];
 269 #if ENABLE_FEATURE_TAR_OLDSUN_COMPATIBILITY
 270                 sum_s += ((signed char*)&tar)[i];
 271 #endif
 272         }
 273         /* Most tarfiles have tar.chksum NUL or space terminated, but
 274          * github.com decided to be "special" and have unterminated field:
 275          * 0090: 30343300 30303031 33323731 30000000 |043.000132710...|
 276          *                                                ^^^^^^^^|
 277          * Need to use GET_OCTAL. This overwrites tar.typeflag ---+
 278          * (the '0' char immediately after chksum in example above) with NUL.
 279          */
 280         tar_typeflag = (uint8_t)tar.typeflag; /* save it */
 281         sum = GET_OCTAL(tar.chksum);
 282         if (sum_u != sum
 283             IF_FEATURE_TAR_OLDSUN_COMPATIBILITY(&& sum_s != sum)
 284         ) {
 285                 bb_simple_error_msg_and_die("invalid tar header checksum");
 286         }
 287
 288         /* GET_OCTAL trashes subsequent field, therefore we call it
 289          * on fields in reverse order */
 290         if (tar.devmajor[0]) {
 291                 char t = tar.prefix[0];
 292                 /* we trash prefix[0] here, but we DO need it later! */
 293                 unsigned minor = GET_OCTAL(tar.devminor);
 294                 unsigned major = GET_OCTAL(tar.devmajor);
 295                 file_header->device = makedev(major, minor);
 296                 tar.prefix[0] = t;
 297         }
 298
 299         /* 0 is reserved for high perf file, treat as normal file */
 300         if (tar_typeflag == '\0') tar_typeflag = '0';
 301         parse_names = (tar_typeflag >= '0' && tar_typeflag <= '7');
 302
 303         file_header->link_target = NULL;
 304         if (!p_linkname && parse_names && tar.linkname[0]) {
 305                 file_header->link_target = xstrndup(tar.linkname, sizeof(tar.linkname));
 306                 /* FIXME: what if we have non-link object with link_target? */
 307                 /* Will link_target be free()ed? */
 308         }
 309 #if ENABLE_FEATURE_TAR_UNAME_GNAME
 310         file_header->tar__uname = tar.uname[0] ? xstrndup(tar.uname, sizeof(tar.uname)) : NULL;
 311         file_header->tar__gname = tar.gname[0] ? xstrndup(tar.gname, sizeof(tar.gname)) : NULL;
 312 #endif
 313         file_header->mtime = GET_OCTAL(tar.mtime);
 314         file_header->size = GET_OCTAL(tar.size);
 315         file_header->gid = GET_OCTAL(tar.gid);
 316         file_header->uid = GET_OCTAL(tar.uid);
 317         /* Set bits 0-11 of the files mode */
 318         file_header->mode = 07777 & GET_OCTAL(tar.mode);
 319
 320         file_header->name = NULL;
 321         if (!p_longname && parse_names) {
 322                 /* we trash mode[0] here, it's ok */
 323                 //tar.name[sizeof(tar.name)] = '\0'; - gcc 4.3.0 would complain
 324                 tar.mode[0] = '\0';
 325                 if (tar.prefix[0]) {
 326                         /* and padding[0] */
 327                         //tar.prefix[sizeof(tar.prefix)] = '\0'; - gcc 4.3.0 would complain
 328                         tar.padding[0] = '\0';
 329                         file_header->name = concat_path_file(tar.prefix, tar.name);
 330                 } else
 331                         file_header->name = xstrdup(tar.name);
 332         }
 333
 334         /* Set bits 12-15 of the files mode */
 335         /* (typeflag was not trashed because chksum does not use getOctal) */
 336         switch (tar_typeflag) {
 337         case '1': /* hardlink */
 338                 /* we mark hardlinks as regular files with zero size and a link name */
 339                 file_header->mode |= S_IFREG;
 340                 /* on size of link fields from star(4)
 341                  * ... For tar archives written by pre POSIX.1-1988
 342                  * implementations, the size field usually contains the size of
 343                  * the file and needs to be ignored as no data may follow this
 344                  * header type.  For POSIX.1- 1988 compliant archives, the size
 345                  * field needs to be 0.  For POSIX.1-2001 compliant archives,
 346                  * the size field may be non zero, indicating that file data is
 347                  * included in the archive.
 348                  * i.e; always assume this is zero for safety.
 349                  */
 350                 goto size0;
 351         case '7':
 352         /* case 0: */
 353         case '0':
 354 #if ENABLE_FEATURE_TAR_OLDGNU_COMPATIBILITY
 355                 if (last_char_is(file_header->name, '/')) {
 356                         goto set_dir;
 357                 }
 358 #endif
 359                 file_header->mode |= S_IFREG;
 360                 break;
 361         case '2':
 362                 file_header->mode |= S_IFLNK;
 363                 /* have seen tarballs with size field containing
 364                  * the size of the link target's name */
 365  size0:
 366                 file_header->size = 0;
 367                 break;
 368         case '3':
 369                 file_header->mode |= S_IFCHR;
 370                 goto size0; /* paranoia */
 371         case '4':
 372                 file_header->mode |= S_IFBLK;
 373                 goto size0;
 374         case '5':
 375  IF_FEATURE_TAR_OLDGNU_COMPATIBILITY(set_dir:)
 376                 file_header->mode |= S_IFDIR;
 377                 goto size0;
 378         case '6':
 379                 file_header->mode |= S_IFIFO;
 380                 goto size0;
 381         case 'g':       /* pax global header */
 382         case 'x': {     /* pax extended header */
 383                 if ((uoff_t)file_header->size > 0xfffff) /* paranoia */
 384                         goto skip_ext_hdr;
 385                 process_pax_hdr(archive_handle, file_header->size, (tar_typeflag == 'g'));
 386                 goto again_after_align;
 387 #if ENABLE_FEATURE_TAR_GNU_EXTENSIONS
 388 /* See http://www.gnu.org/software/tar/manual/html_node/Extensions.html */
 389         case 'L':
 390                 /* free: paranoia: tar with several consecutive longnames */
 391                 free(p_longname);
 392                 /* For paranoia reasons we allocate extra NUL char */
 393                 p_longname = xzalloc(file_header->size + 1);
 394                 /* We read ASCIZ string, including NUL */
 395                 xread(archive_handle->src_fd, p_longname, file_header->size);
 396                 archive_handle->offset += file_header->size;
 397                 /* return get_header_tar(archive_handle); */
 398                 /* gcc 4.1.1 didn't optimize it into jump */
 399                 /* so we will do it ourself, this also saves stack */
 400                 goto again;
 401         case 'K':
 402                 free(p_linkname);
 403                 p_linkname = xzalloc(file_header->size + 1);
 404                 xread(archive_handle->src_fd, p_linkname, file_header->size);
 405                 archive_handle->offset += file_header->size;
 406                 /* return get_header_tar(archive_handle); */
 407                 goto again;
 408 /*
 409  *      case 'S':       // Sparse file
 410  * Was seen in the wild. Not supported (yet?).
 411  * See https://www.gnu.org/software/tar/manual/html_section/tar_92.html
 412  * for the format. (An "Old GNU Format" was seen, not PAX formats).
 413  */
 414 //      case 'D':       /* GNU dump dir */
 415 //      case 'M':       /* Continuation of multi volume archive */
 416 //      case 'N':       /* Old GNU for names > 100 characters */
 417         case 'V':       /* Volume header */
 418                 ; /* Fall through to skip it */
 419 #endif
 420         }
 421  skip_ext_hdr:
 422         {
 423                 off_t sz;
 424                 bb_error_msg("warning: skipping header '%c'", tar_typeflag);
 425                 sz = (file_header->size + 511) & ~(off_t)511;
 426                 archive_handle->offset += sz;
 427                 sz >>= 9; /* sz /= 512 but w/o contortions for signed div */
 428                 while (sz--)
 429                         xread(archive_handle->src_fd, &tar, 512);
 430                 /* return get_header_tar(archive_handle); */
 431                 goto again_after_align;
 432         }
 433         default:
 434                 bb_error_msg_and_die("unknown typeflag: 0x%x", tar_typeflag);
 435         }
 436
 437 #if ENABLE_FEATURE_TAR_GNU_EXTENSIONS
 438         if (p_longname) {
 439                 file_header->name = p_longname;
 440                 p_longname = NULL;
 441         }
 442         if (p_linkname) {
 443                 file_header->link_target = p_linkname;
 444                 p_linkname = NULL;
 445         }
 446 #endif
 447
 448         /* Everything up to and including last ".." component is stripped */
 449         overlapping_strcpy(file_header->name, strip_unsafe_prefix(file_header->name));
 450 //TODO: do the same for file_header->link_target?
 451
 452         /* Strip trailing '/' in directories */
 453         /* Must be done after mode is set as '/' is used to check if it's a directory */
 454         cp = last_char_is(file_header->name, '/');
 455
 456         if (archive_handle->filter(archive_handle) == EXIT_SUCCESS) {
 457                 archive_handle->action_header(/*archive_handle->*/ file_header);
 458                 /* Note that we kill the '/' only after action_header() */
 459                 /* (like GNU tar 1.15.1: verbose mode outputs "dir/dir/") */
 460                 if (cp)
 461                         *cp = '\0';
 462                 archive_handle->action_data(archive_handle);
 463                 if (archive_handle->accept || archive_handle->reject
 464                  || (archive_handle->ah_flags & ARCHIVE_REMEMBER_NAMES)
 465                 ) {
 466                         llist_add_to(&archive_handle->passed, file_header->name);
 467                 } else /* Caller isn't interested in list of unpacked files */
 468                         free(file_header->name);
 469         } else {
 470                 data_skip(archive_handle);
 471                 free(file_header->name);
 472         }
 473         archive_handle->offset += file_header->size;
 474
 475         free(file_header->link_target);
 476         /* Do not free(file_header->name)!
 477          * It might be inserted in archive_handle->passed - see above */
 478 #if ENABLE_FEATURE_TAR_UNAME_GNAME
 479         free(file_header->tar__uname);
 480         free(file_header->tar__gname);
 481 #endif
 482         return EXIT_SUCCESS; /* "decoded one header" */
 483 }