<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, May 1, 2020 at 7:25 AM Matthew Malcomson <<a href="mailto:matthew.malcomson@arm.com">matthew.malcomson@arm.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi everyone,<br>
<br>
I believe the ABI for exception unwinding on a stack tagged with MTE<br>
needs to be clarified -- hopefully we can start the discussion here?<br>
(Please feel free to add people to the thread that you think would be<br>
interested).<br>
<br>
I'll outline some possible approaches that I think seem good below, I<br>
know Evgenii and Peter have done a lot of investigation in this area for<br>
HWASAN, so I'm hoping you can see any problems I've missed, or indeed<br>
propose something better if there's another approach ;-)<br>
<br>
<br>
---  Extra restriction on landing pads ---<br>
No matter what the approach, I believe it would be helpful to require<br>
stacks tagged for MTE to have landing pads which<br>
1) Do not adjust SP to no longer cover local variables before calling<br>
    _Unwind_Resume.<br>
2) Never tail-call _Unwind_Resume.<br>
<br>
With these restrictions (that Peter mentioned in the email I link below)<br>
we can avoid the need to instrument landing pads and just rely on<br>
instrumentation in the unwinder that untags stacks as it goes.<br>
<a href="http://lists.llvm.org/pipermail/llvm-dev/2019-November/136807.html" rel="noreferrer" target="_blank">http://lists.llvm.org/pipermail/llvm-dev/2019-November/136807.html</a><br>
I don't believe this should be a problem, since it seems that neither<br>
LLVM nor GCC ever do this at the moment -- hence a new restriction<br>
should not be too onerous.<br>
<br>
<br>
---  Which part of the toolchain should untag the stack ---<br>
In contrast to HWASAN I believe that the stack should be untagged in the<br>
unwinder itself, rather than in a personality function.<br>
<br>
For HWASAN the LLVM implementation of the untagging personality wrapper<br>
introduces a new requirement that the frame record appears after any<br>
locals. This is not required by AAPCS and GCC currently breaks that<br>
restriction in most call-frames.<br>
This new restriction was introduced so that the personality function can<br>
find the range of the stack that needs to be untagged since there is no<br>
API for the personality function to request this information from the<br>
unwinder.<br>
<br>
The unwinder already has access to information about the range of each<br>
frame and its local variables.<br>
<br>
As a minor additional point, the personality routine is designed as a<br>
language-specific part of the unwinding mechanism, which clashes with<br>
the language-independence of the MTE extension.<br>
<br>
<br>
--- How should frames be marked as requiring untagging ---<br>
I can see two options that make sense to me.<br>
I prefer approach 1 but believe either is a good approach.<br>
<br>
## Approach 1.<br>
My preferred approach is to mark each frame that needs untagging with an<br>
extra character (say 'T' for "Tagged") in the "Augmentation String" of<br>
the CFI information for each function (i.e. stored in the CIE).<br>
This is similar to the way that AArch64 marks that a frame has used the<br>
B-key for Pointer Authentication.<br>
<br>
With this approach we<br>
- Store the information in a language-independent place.<br>
- Pass the information direct to the unwinder using the mechanism and<br>
   code framework that is already in place for Pointer Authentication.<br>
<br>
The downsides of this approach (in relation to option 2 below) are only<br>
related to attempting to link a stack-tagged object file with a<br>
non-MTE-aware toolchain.<br>
- A non-MTE-aware linker will catch and warn about the extra character<br>
   in the Augmentation String (with an error saying ~no .eh_frame_hdr<br>
   table will be created~). Yet it will still generate a binary that<br>
   appears to work without untagging the stack.<br>
- While a non-MTE-aware unwinder will silently not untag the stack,<br>
   leading to runtime MTE faults.<br>
<br>
To mitigate this downside we could make a small test to check that the<br>
users build environment is set up correctly -- then there's at least a<br>
simple advertised procedure that the user can use to double check their<br>
unwinder is MTE-aware.<br>
<br>
<br>
## Approach 2.<br>
An alternative is to introduce new values into the _Unwind_Reason_Code<br>
enum so that a personality routine can inform the unwinder that a given<br>
function has its stack tagged for MTE.<br>
<br>
The untagging will still be done in the general unwinder, but those<br>
functions which tag their stack use a different personality routine<br>
(e.g. __gxx_personality_mte_v0) that returns a new value in this enum<br>
indicating a combination of the value the old one returns plus a bit<br>
indicating whether this function has a tagged stack.<br>
<br>
With this approach, when attempting to link a stack-tagged object file<br>
with a non-MTE-aware toolchain:<br>
- The linker will complain about a missing personality function (and<br>
   hence not create a binary).<br>
(This benefit derives from the fact that we would be creating a *new*<br>
personality function to annotate functions with).<br>
<br>
However, this approach has the downsides that:<br>
- Each language that wants to implememnt MTE stack tagging will need to<br>
   write a new personality routine to return this extra enum.<br>
- We're adding a new way for the compiler and unwinder to communicate<br>
   (with this new enum value).<br>
<br>
<br>
--- Summary ---<br>
I'd appreciate any feedback on this, especially w.r.t. how much people<br>
are worried about users trying to create a stack-tagged binary using old<br>
unwinders/linkers.<br>
If this does happen with approach 1., then a users program could fail at<br>
runtime with an MTE exception in a strange place.<br>
<br>
If that isn't much of a concern then implementing using the<br>
"Augmentation String" seems like the approach which fits the use-case<br>
best (being language-independent) and which introduces less complexity<br>
to the ABI and code.</blockquote><div><br></div><div>Approach 1 sounds perfect to me. Conveniently, both unwinders ignore unrecognized characters in the augmentation string.</div><div><br></div><div>In our experience with ASan, errors caused by failing to unpoison/untag a stack frame are cryptic, and pretty hard to debug. But they can be caused by a number of other things, not just the unwinder - vfork, longjmp and friends in libc, custom stack manipulation anywhere (ex. ART has longjmp implemented in assembly). We could implement a "verified" mode to catch these cases - a compilation flag that checks that the entire frame is SP-accessible at function entry.</div><div><br></div><div>We could use the letter "G" as that's what stands for "tag" in the instruction mnemonics (STG, IRG).</div><div><br></div><div>I had a thought about extending Dwarf with a way to specify a range of offsets to be untagged within the frame (and default to the entire frame if not specified). But it feels like the performance savings would not be worth the extra complexity.</div><div><br></div></div></div>