fix buffer overflow in printf formatting of denormals with low bit set
authorRich Felker <dalias@aerifal.cx>
Sun, 9 Mar 2014 06:38:52 +0000 (01:38 -0500)
committerRich Felker <dalias@aerifal.cx>
Sun, 9 Mar 2014 06:38:52 +0000 (01:38 -0500)
empirically the overflow was an off-by-one, and it did not seem to be
overwriting meaningful data. rather than simply increasing the buffer
size by one, however, I have attempted to make the size obviously
correct in terms of bounds on the number of iterations for the loops
that fill the buffer. this still results in no more than a negligible
size increase of the buffer on the stack (6-7 32-bit slots) and is a
"safer" fix unless/until somebody wants to do the proof that a smaller
buffer would suffice.

src/stdio/vfprintf.c

index b5948bd2649677f1c0acfd4e292d9f8dec9484d0..8570172628f433456010f6d571b50b74ffbfbda3 100644 (file)
@@ -207,7 +207,8 @@ typedef char compiler_defines_long_double_incorrectly[9-(int)sizeof(long double)
 
 static int fmt_fp(FILE *f, long double y, int w, int p, int fl, int t)
 {
-       uint32_t big[(LDBL_MAX_EXP+LDBL_MANT_DIG)/9+1];
+       uint32_t big[(LDBL_MANT_DIG+28)/29 + 1          // mantissa expansion
+               + (LDBL_MAX_EXP+LDBL_MANT_DIG+28+8)/9]; // exponent expansion
        uint32_t *a, *d, *r, *z;
        int e2=0, e, i, j, l;
        char buf[9+LDBL_MANT_DIG/4], *s;