Enhance GPT measurement to be able to handle different partition entry size.

[mirror_edk2.git] / SecurityPkg / Library / DxeImageVerificationLib / DxeImageVerificationLib.c
diff --git a/SecurityPkg/Library/DxeImageVerificationLib/DxeImageVerificationLib.c b/SecurityPkg/Library/DxeImageVerificationLib/DxeImageVerificationLib.c

index a591970e45cceefeac06dfb6b75e942f601f47e9..79d226125107506e380f16b1d86e2e9249858bea 100644 (file)
--- a/SecurityPkg/Library/DxeImageVerificationLib/DxeImageVerificationLib.c
+++ b/SecurityPkg/Library/DxeImageVerificationLib/DxeImageVerificationLib.c
@@ -251,8 +251,6 @@ HashPeImage (
    EFI_IMAGE_SECTION_HEADER  *SectionHeader;\r
    UINTN                     Index;\r
    UINTN                     Pos;\r
-  UINTN                     SumOfSectionBytes;\r
-  EFI_IMAGE_SECTION_HEADER  *SectionCache;\r
    UINT32                    CertSize;\r
    UINT32                    NumberOfRvaAndSizes;\r
  \r
@@ -433,11 +431,6 @@ HashPeImage (
                 mNtHeader.Pe32->FileHeader.SizeOfOptionalHeader\r
                 );\r
  \r
-  SectionCache = Section;\r
-  for (Index = 0, SumOfSectionBytes = 0; Index < mNtHeader.Pe32->FileHeader.NumberOfSections; Index++, SectionCache++) {\r
-    SumOfSectionBytes += SectionCache->SizeOfRawData;\r
-  }\r
-\r
    //\r
    // 11. Build a temporary table of pointers to all the IMAGE_SECTION_HEADER\r
    //     structures in the image. The 'NumberOfSections' field of the image\r
@@ -557,6 +550,10 @@ HashPeImageByType (
  \r
    PkcsCertData = (WIN_CERTIFICATE_EFI_PKCS *) (mImageBase + mSecDataDir->VirtualAddress);\r
  \r
+  if (PkcsCertData->Hdr.dwLength < sizeof (WIN_CERTIFICATE_EFI_PKCS) + 32) {\r
+    return EFI_UNSUPPORTED;\r
+  }\r
+\r
    for (Index = 0; Index < HASHALG_MAX; Index++) {\r
      //\r
      // Check the Hash algorithm in PE/COFF Authenticode.\r
@@ -577,6 +574,10 @@ HashPeImageByType (
        continue;\r
      }\r
  \r
+    if (PkcsCertData->Hdr.dwLength < sizeof (WIN_CERTIFICATE_EFI_PKCS) + 32 + mHash[Index].OidLength) {\r
+      return EFI_UNSUPPORTED;\r
+    }\r
+\r
      if (CompareMem (PkcsCertData->CertData + 32, mHash[Index].OidValue, mHash[Index].OidLength) == 0) {\r
        break;\r
      }\r
@@ -945,7 +946,7 @@ IsPkcsSignedDataVerifiedBySignatureList (
            //\r
            VerifyStatus = AuthenticodeVerify (\r
                             PkcsCertData->CertData,\r
-                           mSecDataDir->Size - sizeof(PkcsCertData->Hdr),\r
+                           PkcsCertData->Hdr.dwLength - sizeof(PkcsCertData->Hdr),\r
                             RootCert,\r
                             RootCertSize,\r
                             mImageDigest,\r
@@ -1064,7 +1065,7 @@ VerifyCertUefiGuid (
    //\r
    // Get KEK database variable.\r
    //\r
-  KekList = GetEfiGlobalVariable (EFI_KEY_EXCHANGE_KEY_NAME);\r
+  GetEfiGlobalVariable2 (EFI_KEY_EXCHANGE_KEY_NAME, (VOID**)&KekList, NULL);\r
    if (KekList == NULL) {\r
      return EFI_SECURITY_VIOLATION;\r
    }\r
@@ -1214,6 +1215,7 @@ DxeImageVerificationHandler (
    UINT8                                *SecureBootEnable;\r
    PE_COFF_LOADER_IMAGE_CONTEXT         ImageContext;\r
    UINT32                               NumberOfRvaAndSizes;\r
+  UINT32                               CertSize;\r
  \r
    if (File == NULL) {\r
      return EFI_INVALID_PARAMETER;\r
@@ -1258,7 +1260,7 @@ DxeImageVerificationHandler (
      return EFI_ACCESS_DENIED;\r
    }\r
  \r
-  SecureBootEnable = GetVariable (EFI_SECURE_BOOT_ENABLE_NAME, &gEfiSecureBootEnableDisableGuid);\r
+  GetVariable2 (EFI_SECURE_BOOT_ENABLE_NAME, &gEfiSecureBootEnableDisableGuid, (VOID**)&SecureBootEnable, NULL);\r
    //\r
    // Skip verification if SecureBootEnable variable doesn't exist.\r
    //\r
@@ -1276,7 +1278,7 @@ DxeImageVerificationHandler (
  \r
    FreePool (SecureBootEnable);\r
  \r
-  SetupMode = GetEfiGlobalVariable (EFI_SETUP_MODE_NAME);\r
+  GetEfiGlobalVariable2 (EFI_SETUP_MODE_NAME, (VOID**)&SetupMode, NULL);\r
  \r
    //\r
    // SetupMode doesn't exist means no AuthVar driver is dispatched,\r
@@ -1321,7 +1323,9 @@ DxeImageVerificationHandler (
      goto Done;\r
    }\r
  \r
-  DosHdr      = (EFI_IMAGE_DOS_HEADER *) mImageBase;\r
+  Status = EFI_ACCESS_DENIED;\r
+\r
+  DosHdr = (EFI_IMAGE_DOS_HEADER *) mImageBase;\r
    if (DosHdr->e_magic == EFI_IMAGE_DOS_SIGNATURE) {\r
      //\r
      // DOS image header is present,\r
@@ -1339,7 +1343,6 @@ DxeImageVerificationHandler (
      //\r
      // It is not a valid Pe/Coff file.\r
      //\r
-    Status = EFI_ACCESS_DENIED;\r
      goto Done;\r
    }\r
  \r
@@ -1374,8 +1377,6 @@ DxeImageVerificationHandler (
        //\r
        // Image Hash is in forbidden database (DBX).\r
        //\r
-      Action = EFI_IMAGE_EXECUTION_AUTH_UNTESTED;\r
-      Status = EFI_ACCESS_DENIED;\r
        goto Done;\r
      }\r
  \r
@@ -1389,8 +1390,6 @@ DxeImageVerificationHandler (
      //\r
      // Image Hash is not found in both forbidden and allowed database.\r
      //\r
-    Action = EFI_IMAGE_EXECUTION_AUTH_UNTESTED;\r
-    Status = EFI_ACCESS_DENIED;\r
      goto Done;\r
    }\r
  \r
@@ -1399,9 +1398,20 @@ DxeImageVerificationHandler (
    //\r
    WinCertificate = (WIN_CERTIFICATE *) (mImageBase + mSecDataDir->VirtualAddress);\r
  \r
+  CertSize = sizeof (WIN_CERTIFICATE);\r
+\r
+  if ((mSecDataDir->Size <= CertSize) || (mSecDataDir->Size < WinCertificate->dwLength)) {\r
+    goto Done;\r
+  }\r
+\r
    switch (WinCertificate->wCertificateType) {\r
  \r
    case WIN_CERT_TYPE_EFI_GUID:\r
+    CertSize = sizeof (WIN_CERTIFICATE_UEFI_GUID) + sizeof (EFI_CERT_BLOCK_RSA_2048_SHA256) - sizeof (UINT8);\r
+    if (WinCertificate->dwLength < CertSize) {\r
+      goto Done;\r
+    }\r
+\r
      //\r
      // Verify UEFI GUID type.\r
      //\r
@@ -1416,7 +1426,7 @@ DxeImageVerificationHandler (
      //\r
      // Verify Pkcs signed data type.\r
      //\r
-    Status    = HashPeImageByType();\r
+    Status = HashPeImageByType();\r
      if (EFI_ERROR (Status)) {\r
        goto Done;\r
      }\r
@@ -1435,7 +1445,6 @@ DxeImageVerificationHandler (
      break;\r
  \r
    default:\r
-    Status = EFI_ACCESS_DENIED;\r
      goto Done;\r
    }\r
    //\r
@@ -1535,7 +1544,7 @@ VariableWriteCallBack (
    // If this library is built-in, it means firmware has capability to perform\r
    // driver signing verification.\r
    //\r
-  SecureBootModePtr = GetEfiGlobalVariable (EFI_SECURE_BOOT_MODE_NAME);\r
+  GetEfiGlobalVariable2 (EFI_SECURE_BOOT_MODE_NAME, (VOID**)&SecureBootModePtr, NULL);\r
    if (SecureBootModePtr == NULL) {\r
      SecureBootMode   = SECURE_BOOT_MODE_DISABLE;\r
      //\r