oweals/musl.git
13 years agofix assumptions that char is signed
Rich Felker [Fri, 16 Sep 2011 18:39:15 +0000 (14:39 -0400)]
fix assumptions that char is signed

13 years agofix more instances of old a_xchg (use new a_swap name)
Rich Felker [Fri, 16 Sep 2011 18:33:51 +0000 (14:33 -0400)]
fix more instances of old a_xchg (use new a_swap name)

13 years agouse a_swap rather than old name a_xchg
Rich Felker [Fri, 16 Sep 2011 18:29:24 +0000 (14:29 -0400)]
use a_swap rather than old name a_xchg

13 years agofix generic sigsetjmp (unused anyway) pointer signedness error
Rich Felker [Fri, 16 Sep 2011 16:44:39 +0000 (12:44 -0400)]
fix generic sigsetjmp (unused anyway) pointer signedness error

13 years agofix idiotic const-correctness error in lio_listio
Rich Felker [Fri, 16 Sep 2011 16:08:20 +0000 (12:08 -0400)]
fix idiotic const-correctness error in lio_listio

i blame this one on posix for using hideous const-qualified double
pointers which are unusable without hideous casts.

13 years agofix ptrace (maybe)
Rich Felker [Fri, 16 Sep 2011 14:13:00 +0000 (10:13 -0400)]
fix ptrace (maybe)

13 years agoimplement ptrace syscall wrapper (untested)
Rich Felker [Thu, 15 Sep 2011 17:03:13 +0000 (13:03 -0400)]
implement ptrace syscall wrapper (untested)

13 years ago0.8.1 release notes v0.8.1
Rich Felker [Wed, 14 Sep 2011 23:11:15 +0000 (19:11 -0400)]
0.8.1 release notes

13 years agoremove incorrectly-made-visible internal dst offset variable
Rich Felker [Wed, 14 Sep 2011 13:37:01 +0000 (09:37 -0400)]
remove incorrectly-made-visible internal dst offset variable

13 years agofix inconsistent signature for aio_error
Rich Felker [Wed, 14 Sep 2011 13:36:38 +0000 (09:36 -0400)]
fix inconsistent signature for aio_error

13 years agofix return types for aio_read and aio_write again
Rich Felker [Wed, 14 Sep 2011 01:21:53 +0000 (21:21 -0400)]
fix return types for aio_read and aio_write again

previous fix was backwards and propagated the wrong type rather than
the right one...

13 years agofix various errors in function signatures/prototypes found by nsz
Rich Felker [Wed, 14 Sep 2011 01:09:35 +0000 (21:09 -0400)]
fix various errors in function signatures/prototypes found by nsz

13 years agofix cruft left in release notes
Rich Felker [Tue, 13 Sep 2011 20:12:57 +0000 (16:12 -0400)]
fix cruft left in release notes

13 years agofix prototypes for aio_read and aio_write
Rich Felker [Tue, 13 Sep 2011 19:39:58 +0000 (15:39 -0400)]
fix prototypes for aio_read and aio_write

13 years agoadd missing posix_spawnattr_init/destroy functions
Rich Felker [Tue, 13 Sep 2011 18:45:59 +0000 (14:45 -0400)]
add missing posix_spawnattr_init/destroy functions

13 years ago0.8.0 release v0.8.0
Rich Felker [Tue, 13 Sep 2011 17:41:40 +0000 (13:41 -0400)]
0.8.0 release

13 years agoremove some stray trailing space characters
Rich Felker [Tue, 13 Sep 2011 13:53:41 +0000 (09:53 -0400)]
remove some stray trailing space characters

13 years agoimplement gnu sigisemptyset
Rich Felker [Mon, 12 Sep 2011 04:00:30 +0000 (00:00 -0400)]
implement gnu sigisemptyset

13 years agoadd prototypes for GNU *_unlocked stdio functions
Rich Felker [Mon, 12 Sep 2011 02:50:02 +0000 (22:50 -0400)]
add prototypes for GNU *_unlocked stdio functions

actually these are just weak aliases for the normal locking versions
right now, and they will probably stay that way since making them
lock-free without slowing down the normal versions would require
significant code duplication for no benefit.

13 years agoadd dummied strverscmp (obnoxious GNU function)
Rich Felker [Mon, 12 Sep 2011 02:45:56 +0000 (22:45 -0400)]
add dummied strverscmp (obnoxious GNU function)

programs that use this tend to horribly botch international text
support, so it's questionable whether we want to support it even in
the long term... for now, it's just a dummy that calls strcmp.

13 years agodeclare alloca in stdlib.h when _GNU_SOURCE is defined
Rich Felker [Mon, 12 Sep 2011 02:43:57 +0000 (22:43 -0400)]
declare alloca in stdlib.h when _GNU_SOURCE is defined

13 years agofix serious bug in pthread_join
Rich Felker [Sun, 11 Sep 2011 16:35:41 +0000 (12:35 -0400)]
fix serious bug in pthread_join

on spurious wakeups/returns from __timedwait, pthread_join would
"succeed" and unmap the thread's stack while it was still running. at
best this would lead to SIGSEGV when the thread resumed execution, but
in the worst case, the thread would later resume executing on top of
another new thread's stack mapped at the same address.

spent about 4 hours tracking this bug down, chasing rare
difficult-to-reproduce stack corruption in a stress test program.
still no idea *what* caused the spurious wakeups; i suspect it's a
kernel bug.

13 years agofix pthread_join wait call: thread termination tid futex is not private
Rich Felker [Sat, 10 Sep 2011 03:10:27 +0000 (23:10 -0400)]
fix pthread_join wait call: thread termination tid futex is not private

this seeme to be the bug that prevented enabling of private futex
support. i'm going to hold off on switching to private futexes until
after the next release, and until i get a chance to audit all
wait/wake calls to make sure they're using the correct private
argument, but with this change it should be safe to enable private
futex support.

13 years agoimplement POSIX asynchronous io
Rich Felker [Fri, 9 Sep 2011 05:07:38 +0000 (01:07 -0400)]
implement POSIX asynchronous io

some features are not yet supported, and only minimal testing has been
performed. should be considered experimental at this point.

13 years agofix incorrect overflow errors on strtoul, etc.
Rich Felker [Tue, 6 Sep 2011 02:23:06 +0000 (22:23 -0400)]
fix incorrect overflow errors on strtoul, etc.

13 years agostrptime: fix use of uninitialized dest field in converting integer
Rich Felker [Mon, 5 Sep 2011 19:39:36 +0000 (15:39 -0400)]
strptime: fix use of uninitialized dest field in converting integer

13 years agomore fmemopen null termination fixes
Rich Felker [Mon, 5 Sep 2011 01:53:20 +0000 (21:53 -0400)]
more fmemopen null termination fixes

null termination is only added when current size grows.
in update modes, null termination is not added if it does not fit
(i.e. it is not allowed to clobber data).

these rules make very little sense, but that's how it goes..

13 years agofix some fmemopen behaviors
Rich Felker [Mon, 5 Sep 2011 01:40:42 +0000 (21:40 -0400)]
fix some fmemopen behaviors

read should not be allowed past "current size".
append mode should write at "current size", not buffer size.
null termination should not be written except when "current size" grows.

13 years agohandle pending cancellation when enabling async cancellation
Rich Felker [Mon, 5 Sep 2011 01:37:07 +0000 (21:37 -0400)]
handle pending cancellation when enabling async cancellation

this is not strictly required by the standard, but without it, there
is a race condition where cancellation arriving just before async
cancellation is enabled might not be acted upon. it is impossible for
a conforming application to work around this race condition since
calling pthread_testcancel after setting async cancellation mode is
not allowed (pthread_testcancel is not specified to be
async-cancel-safe). thus the implementation should be responsible for
eliminating the race, from a quality-of-implementation standpoint.

13 years agofmemopen: fix eof handling, hopefully right this time
Rich Felker [Sun, 4 Sep 2011 20:06:38 +0000 (16:06 -0400)]
fmemopen: fix eof handling, hopefully right this time

13 years agofmemopen fixes
Rich Felker [Sun, 4 Sep 2011 20:04:28 +0000 (16:04 -0400)]
fmemopen fixes

disallow seek past end of buffer (per posix)
fix position accounting to include data buffered for read
don't set eof flag when no data was requested

13 years agomemstreams: fix incorrect handling of file pos > current size
Rich Felker [Sun, 4 Sep 2011 14:29:04 +0000 (10:29 -0400)]
memstreams: fix incorrect handling of file pos > current size

the addition is safe and cannot overflow because both operands are
positive when considered as signed quantities.

13 years agooptimize seek function for memory streams
Rich Felker [Sun, 4 Sep 2011 04:08:32 +0000 (00:08 -0400)]
optimize seek function for memory streams

13 years agofix twos complement overflow bug in mem streams boundary check
Rich Felker [Sun, 4 Sep 2011 04:06:01 +0000 (00:06 -0400)]
fix twos complement overflow bug in mem streams boundary check

the expression -off is not safe in case off is the most-negative
value. instead apply - to base which is known to be non-negative and
bounded within sanity.

13 years agoimplement fmemopen
Rich Felker [Sun, 4 Sep 2011 03:26:17 +0000 (23:26 -0400)]
implement fmemopen

testing so far has been minimal. may need further work.

13 years agofix some length calculations in memory streams
Rich Felker [Sun, 4 Sep 2011 00:19:51 +0000 (20:19 -0400)]
fix some length calculations in memory streams

13 years agoimplement open_wmemstream
Rich Felker [Sat, 3 Sep 2011 23:49:46 +0000 (19:49 -0400)]
implement open_wmemstream

not heavily tested, but it seems to be correct, including the odd
behavior that seeking is in terms of wide character count. this
precludes any simple buffering, so we just make the stream unbuffered.

13 years agofix RTLD_NEXT on x86_64
Rich Felker [Sat, 3 Sep 2011 20:10:30 +0000 (16:10 -0400)]
fix RTLD_NEXT on x86_64

the return address was being truncated to 32 bits, preventing the
dlsym code from determining which module contains the calling code.

13 years agoimplement open_memstream
Rich Felker [Sat, 3 Sep 2011 04:45:21 +0000 (00:45 -0400)]
implement open_memstream

this is the first attempt, and may have bugs. only minimal testing has
been performed.

13 years agofix missing prototypes/wrong signature for psiginfo, psignal
Rich Felker [Fri, 2 Sep 2011 18:25:43 +0000 (14:25 -0400)]
fix missing prototypes/wrong signature for psiginfo, psignal

13 years agofix broken FD_* macros on 64-bit targets
Rich Felker [Sat, 27 Aug 2011 23:42:13 +0000 (19:42 -0400)]
fix broken FD_* macros on 64-bit targets

1 is too small if int is 32-bit but unsigned long is 64-bit. be
explicit and use 1UL.

13 years agobring back ___environ symbol (3 underscores)
Rich Felker [Tue, 23 Aug 2011 16:55:47 +0000 (12:55 -0400)]
bring back ___environ symbol (3 underscores)

its existence doesn't hurt anything, and dynamic-linked binaries using
previous versions of musl were wrongly binding to it instead of
__environ.

13 years agouse new a_crash() asm to optimize double-free handler.
Rich Felker [Tue, 23 Aug 2011 13:43:45 +0000 (09:43 -0400)]
use new a_crash() asm to optimize double-free handler.

gcc generates extremely bad code (7 byte immediate mov) for the old
null pointer write approach. it should be generating something like
"xor %eax,%eax ; mov %al,(%eax)". in any case, using a dedicated
crashing opcode accomplishes the same thing in one byte.

13 years agosecurity hardening: ensure suid programs have valid stdin/out/err
Rich Felker [Tue, 23 Aug 2011 13:37:39 +0000 (09:37 -0400)]
security hardening: ensure suid programs have valid stdin/out/err

this behavior (opening fds 0-2 for a suid program) is explicitly
allowed (but not required) by POSIX to protect badly-written suid
programs from clobbering files they later open.

this commit does add some cost in startup code, but the availability
of auxv and the security flag will be useful elsewhere in the future.
in particular auxv is needed for static-linked vdso support, which is
still waiting to be committed (sorry nik!)

13 years agoin pathconf, -1, not 0, means unsupported.. syncio presumably works, too.
Rich Felker [Wed, 17 Aug 2011 03:23:15 +0000 (23:23 -0400)]
in pathconf, -1, not 0, means unsupported.. syncio presumably works, too.

13 years agofix bogus pathconf result for file size bits
Rich Felker [Wed, 17 Aug 2011 03:18:30 +0000 (23:18 -0400)]
fix bogus pathconf result for file size bits

13 years agopartially working strptime
Rich Felker [Tue, 16 Aug 2011 14:38:33 +0000 (10:38 -0400)]
partially working strptime

it's missing at least:
- derived fields
- week numbers
- short year (without century) support
- locale modifiers

13 years agoldso: move the suid/secure check code closer to env/auxv processing
Rich Felker [Tue, 16 Aug 2011 12:50:03 +0000 (08:50 -0400)]
ldso: move the suid/secure check code closer to env/auxv processing

this does not change behavior, but the idea is to avoid letting other
code build up between these two points, whereby the environment
variables might get used before security it checked.

13 years agohonor AT_SECURE aux vector flag
Rich Felker [Tue, 16 Aug 2011 11:46:42 +0000 (07:46 -0400)]
honor AT_SECURE aux vector flag

13 years agoRTLD_NEXT support
Rich Felker [Tue, 16 Aug 2011 04:42:13 +0000 (00:42 -0400)]
RTLD_NEXT support

the asm wrapper is needed to get the return address without
compiler-specific extensions.

13 years agoLD_PRELOAD support
Rich Felker [Tue, 16 Aug 2011 04:24:36 +0000 (00:24 -0400)]
LD_PRELOAD support

13 years agosimplify and improve double-free check
Rich Felker [Mon, 15 Aug 2011 05:59:15 +0000 (01:59 -0400)]
simplify and improve double-free check

a valid mmapped block will have an even (actually aligned) "extra"
field, whereas a freed chunk on the heap will always have an in-use
neighbor.

this fixes a potential bug if mmap ever allocated memory below the
main program/brk (in which case it would be wrongly-detected as a
double-free by the old code) and allows the double-free check to work
for donated memory outside of the brk area (or, in the future,
secondary heap zones if support for their creation is added).

13 years agotypo in macro definitions for x86_64
Rich Felker [Sun, 14 Aug 2011 19:19:17 +0000 (15:19 -0400)]
typo in macro definitions for x86_64

13 years agomacro for pthread_equal
Rich Felker [Sun, 14 Aug 2011 19:17:36 +0000 (15:17 -0400)]
macro for pthread_equal

no sense bloating apps with a function call for an equality comparison...

13 years agofix missing include in last commit
Rich Felker [Sat, 13 Aug 2011 12:42:15 +0000 (08:42 -0400)]
fix missing include in last commit

13 years agofix clock() function
Rich Felker [Sat, 13 Aug 2011 12:40:11 +0000 (08:40 -0400)]
fix clock() function

it previously was returning the pseudo-monotonic-realtime clock
returned by times() rather than process cputime. it also violated C
namespace by pulling in times().

we now use clock_gettime() if available because times() has
ridiculously bad resolution. still provide a fallback for ancient
kernels without clock_gettime.

13 years agoimplement forkall
Rich Felker [Fri, 12 Aug 2011 14:37:12 +0000 (10:37 -0400)]
implement forkall

this is a "nonstandard" function that was "rejected" by POSIX, but
nonetheless had its behavior documented in the POSIX rationale for
fork. it's present on solaris and possibly some other systems, and
duplicates the whole calling process, not just a single thread. glibc
does not have this function. it should not be used in programs
intending to be portable, but may be useful for testing,
checkpointing, etc. and it's an interesting (and quite small) example
of the usefulness of the __synccall framework originally written to
work around deficiencies in linux's setuid syscall.

13 years agopthread and synccall cleanup, new __synccall_wait op
Rich Felker [Fri, 12 Aug 2011 14:32:22 +0000 (10:32 -0400)]
pthread and synccall cleanup, new __synccall_wait op

fix up clone signature to match the actual behavior. the new
__syncall_wait function allows a __synccall callback to wait for other
threads to continue without returning, so that it can resume action
after the caller finishes. this interface could be made significantly
more general/powerful with minimal effort, but i'll wait to do that
until it's actually useful for something.

13 years agomore efficient signal blocking for timer threads
Rich Felker [Fri, 12 Aug 2011 05:11:28 +0000 (01:11 -0400)]
more efficient signal blocking for timer threads

due to the barrier, it's safe just to block signals in the new thread,
rather than blocking and unblocking in the parent thread.

13 years agonormal exit from timer thread should run dtors, restore cancel state
Rich Felker [Fri, 12 Aug 2011 02:34:09 +0000 (22:34 -0400)]
normal exit from timer thread should run dtors, restore cancel state

13 years agoblock signals in timer threads
Rich Felker [Thu, 11 Aug 2011 19:54:06 +0000 (15:54 -0400)]
block signals in timer threads

if a timer thread leaves signals unblocked, any future attempt by the
main thread to prevent the process from being terminated by blocking
signals will fail, since the signal can still be delivered to the
timer thread.

13 years agocondition variable signal/bcast need not wake unless there are waiters
Rich Felker [Sun, 7 Aug 2011 22:31:06 +0000 (18:31 -0400)]
condition variable signal/bcast need not wake unless there are waiters

13 years agouse weak aliase rather than weak reference for vdso clock_gettime
Rich Felker [Sun, 7 Aug 2011 19:48:16 +0000 (15:48 -0400)]
use weak aliase rather than weak reference for vdso clock_gettime

this works around pcc's lack of working support for weak references,
and in principle is nice because it gets us back to the stage where
the only weak symbol feature we use is weak aliases, nothing else.

having fewer dependencies on fancy linker features is a good thing.

13 years agosimplify unified timed wait code, drop support for newer method
Rich Felker [Sun, 7 Aug 2011 15:14:32 +0000 (11:14 -0400)]
simplify unified timed wait code, drop support for newer method

the new absolute-time-based wait kernelside was hard to get right and
basically just code duplication. it could only improve "performance"
when waiting, and even then, the improvement was just slight drop in
cpu usage during a wait.

actually, with vdso clock_gettime, the "old" way will be even faster
than the "new" way if the time has already expired, since it will not
invoke any syscalls. it can determine entirely in userspace that it
needs to return ETIMEDOUT.

13 years agoadd fast path for normal mutexes back to pthread_mutex_lock
Rich Felker [Sun, 7 Aug 2011 08:50:02 +0000 (04:50 -0400)]
add fast path for normal mutexes back to pthread_mutex_lock

13 years agoclose should not be cancellable after "failing" with EINTR
Rich Felker [Sun, 7 Aug 2011 04:05:01 +0000 (00:05 -0400)]
close should not be cancellable after "failing" with EINTR

normally we allow cancellation to be acted upon when a syscall fails
with EINTR, since there is no useful status to report to the caller in
this case, and the signal that caused the interruption was almost
surely the cancellation request, anyway.

however, unlike all other syscalls, close has actually performed its
resource-deallocation function whenever it returns, even when it
returned an error. if we allow cancellation at this point, the caller
has no way of informing the program that the file descriptor was
closed, and the program may later try to close the file descriptor
again, possibly closing a different, newly-opened file.

the workaround looks ugly (special-casing one syscall), but it's
actually the case that close is the one and only syscall (at least
among cancellation points) with this ugly property.

13 years agoensure the compiler does not move around thread-register-based reads
Rich Felker [Sun, 7 Aug 2011 00:45:30 +0000 (20:45 -0400)]
ensure the compiler does not move around thread-register-based reads

if gcc decided to move this across a conditional that checks validity
of the thread register, an invalid thread-register-based read could be
performed and raise sigsegv.

13 years agosimplify multi-threaded errno, eliminate useless function pointer
Rich Felker [Sun, 7 Aug 2011 00:20:23 +0000 (20:20 -0400)]
simplify multi-threaded errno, eliminate useless function pointer

13 years agouse weak aliases rather than function pointers to simplify some code
Rich Felker [Sun, 7 Aug 2011 00:09:51 +0000 (20:09 -0400)]
use weak aliases rather than function pointers to simplify some code

13 years agofix off-by-one bug in siglongjmp that caused unpredictable behavior
Rich Felker [Fri, 5 Aug 2011 10:43:45 +0000 (06:43 -0400)]
fix off-by-one bug in siglongjmp that caused unpredictable behavior

if saved, signal mask would not be restored unless some low signals
were masked. if not saved, signal mask could be wrongly restored to
uninitialized values. in any, wrong mask would be restored.

i believe this function was written for a very old version of the
jmp_buf structure which did not contain a final 0 field for
compatibility with siglongjmp, and never updated...

13 years agofurther debloat cancellation handlers
Rich Felker [Wed, 3 Aug 2011 23:57:46 +0000 (19:57 -0400)]
further debloat cancellation handlers

cleanup push and pop are also no-ops if pthread_exit is not reachable.
this can make a big difference for library code which needs to protect
itself against cancellation, but which is unlikely to actually be used
in programs with threads/cancellation.

13 years agomissed detail in cancellation bloat fix
Rich Felker [Wed, 3 Aug 2011 23:50:35 +0000 (19:50 -0400)]
missed detail in cancellation bloat fix

13 years agofix static linking dependency bloat with cancellation
Rich Felker [Wed, 3 Aug 2011 23:45:21 +0000 (19:45 -0400)]
fix static linking dependency bloat with cancellation

previously, pthread_cleanup_push/pop were pulling in all of
pthread_create due to dependency on the __pthread_unwind_next
function. this was not needed, as cancellation cleanup handlers can
never be called unless pthread_exit or pthread_cancel is reachable.

13 years agoimplement if_nameindex and if_freenameindex
Rich Felker [Wed, 3 Aug 2011 16:13:13 +0000 (12:13 -0400)]
implement if_nameindex and if_freenameindex

13 years agooverhaul rwlocks to address several issues
Rich Felker [Wed, 3 Aug 2011 14:21:32 +0000 (10:21 -0400)]
overhaul rwlocks to address several issues

like mutexes and semaphores, rwlocks suffered from a race condition
where the unlock operation could access the lock memory after another
thread successfully obtained the lock (and possibly destroyed or
unmapped the object). this has been fixed in the same way it was fixed
for other lock types.

in addition, the previous implementation favored writers over readers.
in the absence of other considerations, that is the best behavior for
rwlocks, and posix explicitly allows it. however posix also requires
read locks to be recursive. if writers are favored, any attempt to
obtain a read lock while a writer is waiting for the lock will fail,
causing "recursive" read locks to deadlock. this can be avoided by
keeping track of which threads already hold read locks, but doing so
requires unbounded memory usage, and there must be a fallback case
that favors readers in case memory allocation failed. and all of this
must be synchronized. the cost, complexity, and risk of errors in
getting it right is too great, so we simply favor readers.

tracking of the owner of write locks has been removed, as it was not
useful for anything. it could allow deadlock detection, but it's not
clear to me that returning EDEADLK (which a buggy program is likely to
ignore) is better than deadlocking; at least the latter behavior
prevents further data corruption. a correct program cannot invoke this
situation anyway.

the reader count and write lock state, as well as the "last minute"
waiter flag have all been combined into a single atomic lock. this
means all state transitions for the lock are atomic compare-and-swap
operations. this makes establishing correctness much easier and may
improve performance.

finally, some code duplication has been cleaned up. more is called
for, especially the standard __timedwait idiom repeated in all locks.

13 years agotimedwait: play it safe for now
Rich Felker [Wed, 3 Aug 2011 12:36:13 +0000 (08:36 -0400)]
timedwait: play it safe for now

it's unclear whether EINVAL or ENOSYS is used when the operation is
not supported, so check for both...

13 years agofix stubbed-out reboot call
Rich Felker [Wed, 3 Aug 2011 01:22:56 +0000 (21:22 -0400)]
fix stubbed-out reboot call

13 years agocorrectly handle old kernels without FUTEX_WAIT_BITSET
Rich Felker [Wed, 3 Aug 2011 01:18:43 +0000 (21:18 -0400)]
correctly handle old kernels without FUTEX_WAIT_BITSET

futex returns EINVAL, not ENOSYS, when op is not supported.
unfortunately this looks just like EINVAL from other causes, and we
end up running the fallback code and getting EINVAL again. fortunately
this case should be rare since correct code should not generate EINVAL
anyway.

13 years agofix sem_timedwait bug introduced in timedwait unification
Rich Felker [Wed, 3 Aug 2011 01:15:20 +0000 (21:15 -0400)]
fix sem_timedwait bug introduced in timedwait unification

this dec used to be performed by the cancellation handler, which was
called when popped.

13 years agounify and overhaul timed futex waits
Rich Felker [Wed, 3 Aug 2011 01:11:36 +0000 (21:11 -0400)]
unify and overhaul timed futex waits

new features:

- FUTEX_WAIT_BITSET op will be used for timed waits if available. this
  saves a call to clock_gettime.

- error checking for the timespec struct is now inside __timedwait so
  it doesn't need to be duplicated everywhere. cond_timedwait still
  needs to duplicate it to avoid unlocking the mutex, though.

- pushing and popping the cancellation handler is delegated to
  __timedwait, and cancellable/non-cancellable waits are unified.

13 years agoavoid accessing mutex memory after atomic unlock
Rich Felker [Wed, 3 Aug 2011 00:31:15 +0000 (20:31 -0400)]
avoid accessing mutex memory after atomic unlock

this change is needed to fix a race condition and ensure that it's
possible to unlock and destroy or unmap the mutex as soon as
pthread_mutex_lock succeeds. POSIX explicitly gives such an example in
the rationale and requires an implementation to allow such usage.

13 years agofix breakage in cancellation due to signal functions overhaul
Rich Felker [Tue, 2 Aug 2011 23:59:56 +0000 (19:59 -0400)]
fix breakage in cancellation due to signal functions overhaul

sigaddset was not accepting SIGCANCEL as a valid signal number.

13 years agooverhaul posix semaphores to fix destructability race
Rich Felker [Tue, 2 Aug 2011 23:19:09 +0000 (19:19 -0400)]
overhaul posix semaphores to fix destructability race

the race condition these changes address is described in glibc bug
report number 12674:

http://sourceware.org/bugzilla/show_bug.cgi?id=12674

up until now, musl has shared the bug, and i had not been able to
figure out how to eliminate it. in short, the problem is that it's not
valid for sem_post to inspect the waiters count after incrementing the
semaphore value, because another thread may have already successfully
returned from sem_wait, (rightly) deemed itself the only remaining
user of the semaphore, and chosen to destroy and free it (or unmap the
shared memory it's stored in). POSIX is not explicit in blessing this
usage, but it gives a very explicit analogous example with mutexes
(which, in musl and glibc, also suffer from the same race condition
bug) in the rationale for pthread_mutex_destroy.

the new semaphore implementation augments the waiter count with a
redundant waiter indication in the semaphore value itself,
representing the presence of "last minute" waiters that may have
arrived after sem_post read the waiter count. this allows sem_post to
read the waiter count prior to incrementing the semaphore value,
rather than after incrementing it, so as to avoid accessing the
semaphore memory whatsoever after the increment takes place.

a similar, but much simpler, fix should be possible for mutexes and
other locking primitives whose usage rules are stricter than
semaphores.

13 years agofix wrong messages in gai_strerror
Rich Felker [Mon, 1 Aug 2011 04:31:15 +0000 (00:31 -0400)]
fix wrong messages in gai_strerror

i had missed the fact that a couple values were unassigned...

13 years agoport numbers should always be interpreted as decimal
Rich Felker [Mon, 1 Aug 2011 04:11:25 +0000 (00:11 -0400)]
port numbers should always be interpreted as decimal

per POSIX and RFC 3493:

If the specified address family is AF_INET, AF_INET6, or AF_UNSPEC,
the service can be specified as a string specifying a decimal port
number.

021 is a valid decimal number, therefore, interpreting it as octal
seems to be non-conformant.

13 years agofix crash in dns code with new stdio locking code
Rich Felker [Mon, 1 Aug 2011 04:03:50 +0000 (00:03 -0400)]
fix crash in dns code with new stdio locking code

13 years agoconsistency: use struct __ucontext instead of ucontext_t in prototypes
Rich Felker [Sun, 31 Jul 2011 04:10:29 +0000 (00:10 -0400)]
consistency: use struct __ucontext instead of ucontext_t in prototypes

this is necessary to avoid build errors if feature test macros are not
properly defined when including ucontext.h

13 years agofix race condition in sigqueue
Rich Felker [Sun, 31 Jul 2011 01:11:31 +0000 (21:11 -0400)]
fix race condition in sigqueue

this race is fundamentally due to linux's bogus requirement that
userspace, rather than kernelspace, fill in the siginfo structure. an
intervening signal handler that calls fork could cause both the parent
and child process to send signals claiming to be from the parent,
which could in turn have harmful effects depending on what the
recipient does with the signal. we simply block all signals for the
interval between getuid and sigqueue syscalls (much like what raise()
does already) to prevent the race and make the getuid/sigqueue pair
atomic.

this will be a non-issue if linux is fixed to validate the siginfo
structure or fill it in from kernelspace.

13 years agoclean up pthread_sigmask/sigprocmask dependency order
Rich Felker [Sun, 31 Jul 2011 01:09:14 +0000 (21:09 -0400)]
clean up pthread_sigmask/sigprocmask dependency order

it's nicer for the function that doesn't use errno to be independent,
and have the other one call it. saves some time and avoids clobbering
errno.

13 years agofix some bugs in setxid and update setrlimit to use __synccall
Rich Felker [Sat, 30 Jul 2011 12:19:31 +0000 (08:19 -0400)]
fix some bugs in setxid and update setrlimit to use __synccall

setrlimit is supposed to be per-process, not per-thread, but again
linux gets it wrong. work around this in userspace. not only is it
needed for correctness; setxid also depends on the resource limits for
all threads being the same to avoid situations where temporarily
unlimiting the limit succeeds in some threads but fails in others.

13 years agoadd proper fuxed-based locking for stdio
Rich Felker [Sat, 30 Jul 2011 12:02:14 +0000 (08:02 -0400)]
add proper fuxed-based locking for stdio

previously, stdio used spinlocks, which would be unacceptable if we
ever add support for thread priorities, and which yielded
pathologically bad performance if an application attempted to use
flockfile on a key file as a major/primary locking mechanism.

i had held off on making this change for fear that it would hurt
performance in the non-threaded case, but actually support for
recursive locking had already inflicted that cost. by having the
internal locking functions store a flag indicating whether they need
to perform unlocking, rather than using the actual recursive lock
counter, i was able to combine the conditionals at unlock time,
eliminating any additional cost, and also avoid a nasty corner case
where a huge number of calls to ftrylockfile could cause deadlock
later at the point of internal locking.

this commit also fixes some issues with usage of pthread_self
conflicting with __attribute__((const)) which resulted in crashes with
some compiler versions/optimizations, mainly in flockfile prior to
pthread_create.

13 years agoeliminate dependence of perror on printf
Rich Felker [Sat, 30 Jul 2011 10:11:16 +0000 (06:11 -0400)]
eliminate dependence of perror on printf

13 years agofix bug in synccall with no threads: lock was taken but never released
Rich Felker [Sat, 30 Jul 2011 04:24:26 +0000 (00:24 -0400)]
fix bug in synccall with no threads: lock was taken but never released

13 years agoadd setxid.c for new set*id() framework. missed in last commit.
Rich Felker [Sat, 30 Jul 2011 03:10:07 +0000 (23:10 -0400)]
add setxid.c for new set*id() framework. missed in last commit.

13 years agonew attempt at making set*id() safe and robust
Rich Felker [Sat, 30 Jul 2011 02:59:44 +0000 (22:59 -0400)]
new attempt at making set*id() safe and robust

changing credentials in a multi-threaded program is extremely
difficult on linux because it requires synchronizing the change
between all threads, which have their own thread-local credentials on
the kernel side. this is further complicated by the fact that changing
the real uid can fail due to exceeding RLIMIT_NPROC, making it
possible that the syscall will succeed in some threads but fail in
others.

the old __rsyscall approach being replaced was robust in that it would
report failure if any one thread failed, but in this case, the program
would be left in an inconsistent state where individual threads might
have different uid. (this was not as bad as glibc, which would
sometimes even fail to report the failure entirely!)

the new approach being committed refuses to change real user id when
it cannot temporarily set the rlimit to infinity. this is completely
POSIX conformant since POSIX does not require an implementation to
allow real-user-id changes for non-privileged processes whatsoever.
still, setting the real uid can fail due to memory allocation in the
kernel, but this can only happen if there is not already a cached
object for the target user. thus, we forcibly serialize the syscalls
attempts, and fail the entire operation on the first failure. this
*should* lead to an all-or-nothing success/failure result, but it's
still fragile and highly dependent on kernel developers not breaking
things worse than they're already broken.

ideally linux will eventually add a CLONE_USERCRED flag that would
give POSIX conformant credential changes without any hacks from
userspace, and all of this code would become redundant and could be
removed ~10 years down the line when everyone has abandoned the old
broken kernels. i'm not holding my breath...

13 years agoremove ugly prng from mk*temp and just re-poll time on retry
Rich Felker [Fri, 29 Jul 2011 02:03:54 +0000 (22:03 -0400)]
remove ugly prng from mk*temp and just re-poll time on retry

13 years agoeliminate mk*temp dependency on snprintf
Rich Felker [Fri, 29 Jul 2011 01:48:53 +0000 (21:48 -0400)]
eliminate mk*temp dependency on snprintf

this helps some tiny programs be even more tiny, and barly increases
code size even if both are used.

13 years agofix for setenv bogus var argument handling
Rich Felker [Fri, 29 Jul 2011 00:43:40 +0000 (20:43 -0400)]
fix for setenv bogus var argument handling

thanks to mikachu

per POSIX:

The setenv() function shall fail if:

[EINVAL] The name argument is a null pointer, points to an empty
string, or points to a string containing an '=' character.

13 years agowhen resolving symbols with only weak defs, use first def, not last def
Rich Felker [Mon, 25 Jul 2011 13:22:05 +0000 (09:22 -0400)]
when resolving symbols with only weak defs, use first def, not last def

13 years agocomment non-obvious de bruijn sequence code in int parser
Rich Felker [Mon, 25 Jul 2011 13:21:40 +0000 (09:21 -0400)]
comment non-obvious de bruijn sequence code in int parser