Documentation/process/deprecated.rst

   1 .. SPDX-License-Identifier: GPL-2.0
   2
   3 .. _deprecated:
   4
   5 =====================================================================
   6 Deprecated Interfaces, Language Features, Attributes, and Conventions
   7 =====================================================================
   8
   9 In a perfect world, it would be possible to convert all instances of
  10 some deprecated API into the new API and entirely remove the old API in
  11 a single development cycle. However, due to the size of the kernel, the
  12 maintainership hierarchy, and timing, it's not always feasible to do these
  13 kinds of conversions at once. This means that new instances may sneak into
  14 the kernel while old ones are being removed, only making the amount of
  15 work to remove the API grow. In order to educate developers about what
  16 has been deprecated and why, this list has been created as a place to
  17 point when uses of deprecated things are proposed for inclusion in the
  18 kernel.
  19
  20 __deprecated
  21 ------------
  22 While this attribute does visually mark an interface as deprecated,
  23 it `does not produce warnings during builds any more
  24 <https://git.kernel.org/linus/771c035372a036f83353eef46dbb829780330234>`_
  25 because one of the standing goals of the kernel is to build without
  26 warnings and no one was actually doing anything to remove these deprecated
  27 interfaces. While using `__deprecated` is nice to note an old API in
  28 a header file, it isn't the full solution. Such interfaces must either
  29 be fully removed from the kernel, or added to this file to discourage
  30 others from using them in the future.
  31
  32 BUG() and BUG_ON()
  33 ------------------
  34 Use WARN() and WARN_ON() instead, and handle the "impossible"
  35 error condition as gracefully as possible. While the BUG()-family
  36 of APIs were originally designed to act as an "impossible situation"
  37 assert and to kill a kernel thread "safely", they turn out to just be
  38 too risky. (e.g. "In what order do locks need to be released? Have
  39 various states been restored?") Very commonly, using BUG() will
  40 destabilize a system or entirely break it, which makes it impossible
  41 to debug or even get viable crash reports. Linus has `very strong
  42 <https://lore.kernel.org/lkml/CA+55aFy6jNLsywVYdGp83AMrXBo_P-pkjkphPGrO=82SPKCpLQ@mail.gmail.com/>`_
  43 feelings `about this
  44 <https://lore.kernel.org/lkml/CAHk-=whDHsbK3HTOpTF=ue_o04onRwTEaK_ZoJp_fjbqq4+=Jw@mail.gmail.com/>`_.
  45
  46 Note that the WARN()-family should only be used for "expected to
  47 be unreachable" situations. If you want to warn about "reachable
  48 but undesirable" situations, please use the pr_warn()-family of
  49 functions. System owners may have set the *panic_on_warn* sysctl,
  50 to make sure their systems do not continue running in the face of
  51 "unreachable" conditions. (For example, see commits like `this one
  52 <https://git.kernel.org/linus/d4689846881d160a4d12a514e991a740bcb5d65a>`_.)
  53
  54 open-coded arithmetic in allocator arguments
  55 --------------------------------------------
  56 Dynamic size calculations (especially multiplication) should not be
  57 performed in memory allocator (or similar) function arguments due to the
  58 risk of them overflowing. This could lead to values wrapping around and a
  59 smaller allocation being made than the caller was expecting. Using those
  60 allocations could lead to linear overflows of heap memory and other
  61 misbehaviors. (One exception to this is literal values where the compiler
  62 can warn if they might overflow. Though using literals for arguments as
  63 suggested below is also harmless.)
  64
  65 For example, do not use ``count * size`` as an argument, as in::
  66
  67         foo = kmalloc(count * size, GFP_KERNEL);
  68
  69 Instead, the 2-factor form of the allocator should be used::
  70
  71         foo = kmalloc_array(count, size, GFP_KERNEL);
  72
  73 Specifically, kmalloc() can be replaced with kmalloc_array(), and
  74 kzalloc() can be replaced with kcalloc().
  75
  76 If no 2-factor form is available, the saturate-on-overflow helpers should
  77 be used::
  78
  79         bar = vmalloc(array_size(count, size));
  80
  81 Another common case to avoid is calculating the size of a structure with
  82 a trailing array of others structures, as in::
  83
  84         header = kzalloc(sizeof(*header) + count * sizeof(*header->item),
  85                          GFP_KERNEL);
  86
  87 Instead, use the helper::
  88
  89         header = kzalloc(struct_size(header, item, count), GFP_KERNEL);
  90
  91 .. note:: If you are using struct_size() on a structure containing a zero-length
  92         or a one-element array as a trailing array member, please refactor such
  93         array usage and switch to a `flexible array member
  94         <#zero-length-and-one-element-arrays>`_ instead.
  95
  96 For other calculations, please compose the use of the size_mul(),
  97 size_add(), and size_sub() helpers. For example, in the case of::
  98
  99         foo = krealloc(current_size + chunk_size * (count - 3), GFP_KERNEL);
 100
 101 Instead, use the helpers::
 102
 103         foo = krealloc(size_add(current_size,
 104                                 size_mul(chunk_size,
 105                                          size_sub(count, 3))), GFP_KERNEL);
 106
 107 For more details, also see array3_size() and flex_array_size(),
 108 as well as the related check_mul_overflow(), check_add_overflow(),
 109 check_sub_overflow(), and check_shl_overflow() family of functions.
 110
 111 simple_strtol(), simple_strtoll(), simple_strtoul(), simple_strtoull()
 112 ----------------------------------------------------------------------
 113 The simple_strtol(), simple_strtoll(),
 114 simple_strtoul(), and simple_strtoull() functions
 115 explicitly ignore overflows, which may lead to unexpected results
 116 in callers. The respective kstrtol(), kstrtoll(),
 117 kstrtoul(), and kstrtoull() functions tend to be the
 118 correct replacements, though note that those require the string to be
 119 NUL or newline terminated.
 120
 121 strcpy()
 122 --------
 123 strcpy() performs no bounds checking on the destination buffer. This
 124 could result in linear overflows beyond the end of the buffer, leading to
 125 all kinds of misbehaviors. While `CONFIG_FORTIFY_SOURCE=y` and various
 126 compiler flags help reduce the risk of using this function, there is
 127 no good reason to add new uses of this function. The safe replacement
 128 is strscpy(), though care must be given to any cases where the return
 129 value of strcpy() was used, since strscpy() does not return a pointer to
 130 the destination, but rather a count of non-NUL bytes copied (or negative
 131 errno when it truncates).
 132
 133 strncpy() on NUL-terminated strings
 134 -----------------------------------
 135 Use of strncpy() does not guarantee that the destination buffer will
 136 be NUL terminated. This can lead to various linear read overflows and
 137 other misbehavior due to the missing termination. It also NUL-pads
 138 the destination buffer if the source contents are shorter than the
 139 destination buffer size, which may be a needless performance penalty
 140 for callers using only NUL-terminated strings. The safe replacement is
 141 strscpy(), though care must be given to any cases where the return value
 142 of strncpy() was used, since strscpy() does not return a pointer to the
 143 destination, but rather a count of non-NUL bytes copied (or negative
 144 errno when it truncates). Any cases still needing NUL-padding should
 145 instead use strscpy_pad().
 146
 147 If a caller is using non-NUL-terminated strings, strncpy() can
 148 still be used, but destinations should be marked with the `__nonstring
 149 <https://gcc.gnu.org/onlinedocs/gcc/Common-Variable-Attributes.html>`_
 150 attribute to avoid future compiler warnings.
 151
 152 strlcpy()
 153 ---------
 154 strlcpy() reads the entire source buffer first (since the return value
 155 is meant to match that of strlen()). This read may exceed the destination
 156 size limit. This is both inefficient and can lead to linear read overflows
 157 if a source string is not NUL-terminated. The safe replacement is strscpy(),
 158 though care must be given to any cases where the return value of strlcpy()
 159 is used, since strscpy() will return negative errno values when it truncates.
 160
 161 %p format specifier
 162 -------------------
 163 Traditionally, using "%p" in format strings would lead to regular address
 164 exposure flaws in dmesg, proc, sysfs, etc. Instead of leaving these to
 165 be exploitable, all "%p" uses in the kernel are being printed as a hashed
 166 value, rendering them unusable for addressing. New uses of "%p" should not
 167 be added to the kernel. For text addresses, using "%pS" is likely better,
 168 as it produces the more useful symbol name instead. For nearly everything
 169 else, just do not add "%p" at all.
 170
 171 Paraphrasing Linus's current `guidance <https://lore.kernel.org/lkml/CA+55aFwQEd_d40g4mUCSsVRZzrFPUJt74vc6PPpb675hYNXcKw@mail.gmail.com/>`_:
 172
 173 - If the hashed "%p" value is pointless, ask yourself whether the pointer
 174   itself is important. Maybe it should be removed entirely?
 175 - If you really think the true pointer value is important, why is some
 176   system state or user privilege level considered "special"? If you think
 177   you can justify it (in comments and commit log) well enough to stand
 178   up to Linus's scrutiny, maybe you can use "%px", along with making sure
 179   you have sensible permissions.
 180
 181 If you are debugging something where "%p" hashing is causing problems,
 182 you can temporarily boot with the debug flag "`no_hash_pointers
 183 <https://git.kernel.org/linus/5ead723a20e0447bc7db33dc3070b420e5f80aa6>`_".
 184
 185 Variable Length Arrays (VLAs)
 186 -----------------------------
 187 Using stack VLAs produces much worse machine code than statically
 188 sized stack arrays. While these non-trivial `performance issues
 189 <https://git.kernel.org/linus/02361bc77888>`_ are reason enough to
 190 eliminate VLAs, they are also a security risk. Dynamic growth of a stack
 191 array may exceed the remaining memory in the stack segment. This could
 192 lead to a crash, possible overwriting sensitive contents at the end of the
 193 stack (when built without `CONFIG_THREAD_INFO_IN_TASK=y`), or overwriting
 194 memory adjacent to the stack (when built without `CONFIG_VMAP_STACK=y`)
 195
 196 Implicit switch case fall-through
 197 ---------------------------------
 198 The C language allows switch cases to fall through to the next case
 199 when a "break" statement is missing at the end of a case. This, however,
 200 introduces ambiguity in the code, as it's not always clear if the missing
 201 break is intentional or a bug. For example, it's not obvious just from
 202 looking at the code if `STATE_ONE` is intentionally designed to fall
 203 through into `STATE_TWO`::
 204
 205         switch (value) {
 206         case STATE_ONE:
 207                 do_something();
 208         case STATE_TWO:
 209                 do_other();
 210                 break;
 211         default:
 212                 WARN("unknown state");
 213         }
 214
 215 As there have been a long list of flaws `due to missing "break" statements
 216 <https://cwe.mitre.org/data/definitions/484.html>`_, we no longer allow
 217 implicit fall-through. In order to identify intentional fall-through
 218 cases, we have adopted a pseudo-keyword macro "fallthrough" which
 219 expands to gcc's extension `__attribute__((__fallthrough__))
 220 <https://gcc.gnu.org/onlinedocs/gcc/Statement-Attributes.html>`_.
 221 (When the C17/C18  `[[fallthrough]]` syntax is more commonly supported by
 222 C compilers, static analyzers, and IDEs, we can switch to using that syntax
 223 for the macro pseudo-keyword.)
 224
 225 All switch/case blocks must end in one of:
 226
 227 * break;
 228 * fallthrough;
 229 * continue;
 230 * goto <label>;
 231 * return [expression];
 232
 233 Zero-length and one-element arrays
 234 ----------------------------------
 235 There is a regular need in the kernel to provide a way to declare having
 236 a dynamically sized set of trailing elements in a structure. Kernel code
 237 should always use `"flexible array members" <https://en.wikipedia.org/wiki/Flexible_array_member>`_
 238 for these cases. The older style of one-element or zero-length arrays should
 239 no longer be used.
 240
 241 In older C code, dynamically sized trailing elements were done by specifying
 242 a one-element array at the end of a structure::
 243
 244         struct something {
 245                 size_t count;
 246                 struct foo items[1];
 247         };
 248
 249 This led to fragile size calculations via sizeof() (which would need to
 250 remove the size of the single trailing element to get a correct size of
 251 the "header"). A `GNU C extension <https://gcc.gnu.org/onlinedocs/gcc/Zero-Length.html>`_
 252 was introduced to allow for zero-length arrays, to avoid these kinds of
 253 size problems::
 254
 255         struct something {
 256                 size_t count;
 257                 struct foo items[0];
 258         };
 259
 260 But this led to other problems, and didn't solve some problems shared by
 261 both styles, like not being able to detect when such an array is accidentally
 262 being used _not_ at the end of a structure (which could happen directly, or
 263 when such a struct was in unions, structs of structs, etc).
 264
 265 C99 introduced "flexible array members", which lacks a numeric size for
 266 the array declaration entirely::
 267
 268         struct something {
 269                 size_t count;
 270                 struct foo items[];
 271         };
 272
 273 This is the way the kernel expects dynamically sized trailing elements
 274 to be declared. It allows the compiler to generate errors when the
 275 flexible array does not occur last in the structure, which helps to prevent
 276 some kind of `undefined behavior
 277 <https://git.kernel.org/linus/76497732932f15e7323dc805e8ea8dc11bb587cf>`_
 278 bugs from being inadvertently introduced to the codebase. It also allows
 279 the compiler to correctly analyze array sizes (via sizeof(),
 280 `CONFIG_FORTIFY_SOURCE`, and `CONFIG_UBSAN_BOUNDS`). For instance,
 281 there is no mechanism that warns us that the following application of the
 282 sizeof() operator to a zero-length array always results in zero::
 283
 284         struct something {
 285                 size_t count;
 286                 struct foo items[0];
 287         };
 288
 289         struct something *instance;
 290
 291         instance = kmalloc(struct_size(instance, items, count), GFP_KERNEL);
 292         instance->count = count;
 293
 294         size = sizeof(instance->items) * instance->count;
 295         memcpy(instance->items, source, size);
 296
 297 At the last line of code above, ``size`` turns out to be ``zero``, when one might
 298 have thought it represents the total size in bytes of the dynamic memory recently
 299 allocated for the trailing array ``items``. Here are a couple examples of this
 300 issue: `link 1
 301 <https://git.kernel.org/linus/f2cd32a443da694ac4e28fbf4ac6f9d5cc63a539>`_,
 302 `link 2
 303 <https://git.kernel.org/linus/ab91c2a89f86be2898cee208d492816ec238b2cf>`_.
 304 Instead, `flexible array members have incomplete type, and so the sizeof()
 305 operator may not be applied <https://gcc.gnu.org/onlinedocs/gcc/Zero-Length.html>`_,
 306 so any misuse of such operators will be immediately noticed at build time.
 307
 308 With respect to one-element arrays, one has to be acutely aware that `such arrays
 309 occupy at least as much space as a single object of the type
 310 <https://gcc.gnu.org/onlinedocs/gcc/Zero-Length.html>`_,
 311 hence they contribute to the size of the enclosing structure. This is prone
 312 to error every time people want to calculate the total size of dynamic memory
 313 to allocate for a structure containing an array of this kind as a member::
 314
 315         struct something {
 316                 size_t count;
 317                 struct foo items[1];
 318         };
 319
 320         struct something *instance;
 321
 322         instance = kmalloc(struct_size(instance, items, count - 1), GFP_KERNEL);
 323         instance->count = count;
 324
 325         size = sizeof(instance->items) * instance->count;
 326         memcpy(instance->items, source, size);
 327
 328 In the example above, we had to remember to calculate ``count - 1`` when using
 329 the struct_size() helper, otherwise we would have --unintentionally-- allocated
 330 memory for one too many ``items`` objects. The cleanest and least error-prone way
 331 to implement this is through the use of a `flexible array member`, together with
 332 struct_size() and flex_array_size() helpers::
 333
 334         struct something {
 335                 size_t count;
 336                 struct foo items[];
 337         };
 338
 339         struct something *instance;
 340
 341         instance = kmalloc(struct_size(instance, items, count), GFP_KERNEL);
 342         instance->count = count;
 343
 344         memcpy(instance->items, source, flex_array_size(instance, items, instance->count));