Documentation/process/deprecated.rst

   1 .. SPDX-License-Identifier: GPL-2.0
   2
   3 .. _deprecated:
   4
   5 =====================================================================
   6 Deprecated Interfaces, Language Features, Attributes, and Conventions
   7 =====================================================================
   8
   9 In a perfect world, it would be possible to convert all instances of
  10 some deprecated API into the new API and entirely remove the old API in
  11 a single development cycle. However, due to the size of the kernel, the
  12 maintainership hierarchy, and timing, it's not always feasible to do these
  13 kinds of conversions at once. This means that new instances may sneak into
  14 the kernel while old ones are being removed, only making the amount of
  15 work to remove the API grow. In order to educate developers about what
  16 has been deprecated and why, this list has been created as a place to
  17 point when uses of deprecated things are proposed for inclusion in the
  18 kernel.
  19
  20 __deprecated
  21 ------------
  22 While this attribute does visually mark an interface as deprecated,
  23 it `does not produce warnings during builds any more
  24 <https://git.kernel.org/linus/771c035372a036f83353eef46dbb829780330234>`_
  25 because one of the standing goals of the kernel is to build without
  26 warnings and no one was actually doing anything to remove these deprecated
  27 interfaces. While using `__deprecated` is nice to note an old API in
  28 a header file, it isn't the full solution. Such interfaces must either
  29 be fully removed from the kernel, or added to this file to discourage
  30 others from using them in the future.
  31
  32 BUG() and BUG_ON()
  33 ------------------
  34 Use WARN() and WARN_ON() instead, and handle the "impossible"
  35 error condition as gracefully as possible. While the BUG()-family
  36 of APIs were originally designed to act as an "impossible situation"
  37 assert and to kill a kernel thread "safely", they turn out to just be
  38 too risky. (e.g. "In what order do locks need to be released? Have
  39 various states been restored?") Very commonly, using BUG() will
  40 destabilize a system or entirely break it, which makes it impossible
  41 to debug or even get viable crash reports. Linus has `very strong
  42 <https://lore.kernel.org/lkml/CA+55aFy6jNLsywVYdGp83AMrXBo_P-pkjkphPGrO=82SPKCpLQ@mail.gmail.com/>`_
  43 feelings `about this
  44 <https://lore.kernel.org/lkml/CAHk-=whDHsbK3HTOpTF=ue_o04onRwTEaK_ZoJp_fjbqq4+=Jw@mail.gmail.com/>`_.
  45
  46 Note that the WARN()-family should only be used for "expected to
  47 be unreachable" situations. If you want to warn about "reachable
  48 but undesirable" situations, please use the pr_warn()-family of
  49 functions. System owners may have set the *panic_on_warn* sysctl,
  50 to make sure their systems do not continue running in the face of
  51 "unreachable" conditions. (For example, see commits like `this one
  52 <https://git.kernel.org/linus/d4689846881d160a4d12a514e991a740bcb5d65a>`_.)
  53
  54 open-coded arithmetic in allocator arguments
  55 --------------------------------------------
  56 Dynamic size calculations (especially multiplication) should not be
  57 performed in memory allocator (or similar) function arguments due to the
  58 risk of them overflowing. This could lead to values wrapping around and a
  59 smaller allocation being made than the caller was expecting. Using those
  60 allocations could lead to linear overflows of heap memory and other
  61 misbehaviors. (One exception to this is literal values where the compiler
  62 can warn if they might overflow. However, the preferred way in these
  63 cases is to refactor the code as suggested below to avoid the open-coded
  64 arithmetic.)
  65
  66 For example, do not use ``count * size`` as an argument, as in::
  67
  68         foo = kmalloc(count * size, GFP_KERNEL);
  69
  70 Instead, the 2-factor form of the allocator should be used::
  71
  72         foo = kmalloc_array(count, size, GFP_KERNEL);
  73
  74 Specifically, kmalloc() can be replaced with kmalloc_array(), and
  75 kzalloc() can be replaced with kcalloc().
  76
  77 If no 2-factor form is available, the saturate-on-overflow helpers should
  78 be used::
  79
  80         bar = vmalloc(array_size(count, size));
  81
  82 Another common case to avoid is calculating the size of a structure with
  83 a trailing array of others structures, as in::
  84
  85         header = kzalloc(sizeof(*header) + count * sizeof(*header->item),
  86                          GFP_KERNEL);
  87
  88 Instead, use the helper::
  89
  90         header = kzalloc(struct_size(header, item, count), GFP_KERNEL);
  91
  92 .. note:: If you are using struct_size() on a structure containing a zero-length
  93         or a one-element array as a trailing array member, please refactor such
  94         array usage and switch to a `flexible array member
  95         <#zero-length-and-one-element-arrays>`_ instead.
  96
  97 For other calculations, please compose the use of the size_mul(),
  98 size_add(), and size_sub() helpers. For example, in the case of::
  99
 100         foo = krealloc(current_size + chunk_size * (count - 3), GFP_KERNEL);
 101
 102 Instead, use the helpers::
 103
 104         foo = krealloc(size_add(current_size,
 105                                 size_mul(chunk_size,
 106                                          size_sub(count, 3))), GFP_KERNEL);
 107
 108 For more details, also see array3_size() and flex_array_size(),
 109 as well as the related check_mul_overflow(), check_add_overflow(),
 110 check_sub_overflow(), and check_shl_overflow() family of functions.
 111
 112 simple_strtol(), simple_strtoll(), simple_strtoul(), simple_strtoull()
 113 ----------------------------------------------------------------------
 114 The simple_strtol(), simple_strtoll(),
 115 simple_strtoul(), and simple_strtoull() functions
 116 explicitly ignore overflows, which may lead to unexpected results
 117 in callers. The respective kstrtol(), kstrtoll(),
 118 kstrtoul(), and kstrtoull() functions tend to be the
 119 correct replacements, though note that those require the string to be
 120 NUL or newline terminated.
 121
 122 strcpy()
 123 --------
 124 strcpy() performs no bounds checking on the destination buffer. This
 125 could result in linear overflows beyond the end of the buffer, leading to
 126 all kinds of misbehaviors. While `CONFIG_FORTIFY_SOURCE=y` and various
 127 compiler flags help reduce the risk of using this function, there is
 128 no good reason to add new uses of this function. The safe replacement
 129 is strscpy(), though care must be given to any cases where the return
 130 value of strcpy() was used, since strscpy() does not return a pointer to
 131 the destination, but rather a count of non-NUL bytes copied (or negative
 132 errno when it truncates).
 133
 134 strncpy() on NUL-terminated strings
 135 -----------------------------------
 136 Use of strncpy() does not guarantee that the destination buffer will
 137 be NUL terminated. This can lead to various linear read overflows and
 138 other misbehavior due to the missing termination. It also NUL-pads
 139 the destination buffer if the source contents are shorter than the
 140 destination buffer size, which may be a needless performance penalty
 141 for callers using only NUL-terminated strings. The safe replacement is
 142 strscpy(), though care must be given to any cases where the return value
 143 of strncpy() was used, since strscpy() does not return a pointer to the
 144 destination, but rather a count of non-NUL bytes copied (or negative
 145 errno when it truncates). Any cases still needing NUL-padding should
 146 instead use strscpy_pad().
 147
 148 If a caller is using non-NUL-terminated strings, strncpy() can
 149 still be used, but destinations should be marked with the `__nonstring
 150 <https://gcc.gnu.org/onlinedocs/gcc/Common-Variable-Attributes.html>`_
 151 attribute to avoid future compiler warnings.
 152
 153 strlcpy()
 154 ---------
 155 strlcpy() reads the entire source buffer first (since the return value
 156 is meant to match that of strlen()). This read may exceed the destination
 157 size limit. This is both inefficient and can lead to linear read overflows
 158 if a source string is not NUL-terminated. The safe replacement is strscpy(),
 159 though care must be given to any cases where the return value of strlcpy()
 160 is used, since strscpy() will return negative errno values when it truncates.
 161
 162 %p format specifier
 163 -------------------
 164 Traditionally, using "%p" in format strings would lead to regular address
 165 exposure flaws in dmesg, proc, sysfs, etc. Instead of leaving these to
 166 be exploitable, all "%p" uses in the kernel are being printed as a hashed
 167 value, rendering them unusable for addressing. New uses of "%p" should not
 168 be added to the kernel. For text addresses, using "%pS" is likely better,
 169 as it produces the more useful symbol name instead. For nearly everything
 170 else, just do not add "%p" at all.
 171
 172 Paraphrasing Linus's current `guidance <https://lore.kernel.org/lkml/CA+55aFwQEd_d40g4mUCSsVRZzrFPUJt74vc6PPpb675hYNXcKw@mail.gmail.com/>`_:
 173
 174 - If the hashed "%p" value is pointless, ask yourself whether the pointer
 175   itself is important. Maybe it should be removed entirely?
 176 - If you really think the true pointer value is important, why is some
 177   system state or user privilege level considered "special"? If you think
 178   you can justify it (in comments and commit log) well enough to stand
 179   up to Linus's scrutiny, maybe you can use "%px", along with making sure
 180   you have sensible permissions.
 181
 182 If you are debugging something where "%p" hashing is causing problems,
 183 you can temporarily boot with the debug flag "`no_hash_pointers
 184 <https://git.kernel.org/linus/5ead723a20e0447bc7db33dc3070b420e5f80aa6>`_".
 185
 186 Variable Length Arrays (VLAs)
 187 -----------------------------
 188 Using stack VLAs produces much worse machine code than statically
 189 sized stack arrays. While these non-trivial `performance issues
 190 <https://git.kernel.org/linus/02361bc77888>`_ are reason enough to
 191 eliminate VLAs, they are also a security risk. Dynamic growth of a stack
 192 array may exceed the remaining memory in the stack segment. This could
 193 lead to a crash, possible overwriting sensitive contents at the end of the
 194 stack (when built without `CONFIG_THREAD_INFO_IN_TASK=y`), or overwriting
 195 memory adjacent to the stack (when built without `CONFIG_VMAP_STACK=y`)
 196
 197 Implicit switch case fall-through
 198 ---------------------------------
 199 The C language allows switch cases to fall through to the next case
 200 when a "break" statement is missing at the end of a case. This, however,
 201 introduces ambiguity in the code, as it's not always clear if the missing
 202 break is intentional or a bug. For example, it's not obvious just from
 203 looking at the code if `STATE_ONE` is intentionally designed to fall
 204 through into `STATE_TWO`::
 205
 206         switch (value) {
 207         case STATE_ONE:
 208                 do_something();
 209         case STATE_TWO:
 210                 do_other();
 211                 break;
 212         default:
 213                 WARN("unknown state");
 214         }
 215
 216 As there have been a long list of flaws `due to missing "break" statements
 217 <https://cwe.mitre.org/data/definitions/484.html>`_, we no longer allow
 218 implicit fall-through. In order to identify intentional fall-through
 219 cases, we have adopted a pseudo-keyword macro "fallthrough" which
 220 expands to gcc's extension `__attribute__((__fallthrough__))
 221 <https://gcc.gnu.org/onlinedocs/gcc/Statement-Attributes.html>`_.
 222 (When the C17/C18  `[[fallthrough]]` syntax is more commonly supported by
 223 C compilers, static analyzers, and IDEs, we can switch to using that syntax
 224 for the macro pseudo-keyword.)
 225
 226 All switch/case blocks must end in one of:
 227
 228 * break;
 229 * fallthrough;
 230 * continue;
 231 * goto <label>;
 232 * return [expression];
 233
 234 Zero-length and one-element arrays
 235 ----------------------------------
 236 There is a regular need in the kernel to provide a way to declare having
 237 a dynamically sized set of trailing elements in a structure. Kernel code
 238 should always use `"flexible array members" <https://en.wikipedia.org/wiki/Flexible_array_member>`_
 239 for these cases. The older style of one-element or zero-length arrays should
 240 no longer be used.
 241
 242 In older C code, dynamically sized trailing elements were done by specifying
 243 a one-element array at the end of a structure::
 244
 245         struct something {
 246                 size_t count;
 247                 struct foo items[1];
 248         };
 249
 250 This led to fragile size calculations via sizeof() (which would need to
 251 remove the size of the single trailing element to get a correct size of
 252 the "header"). A `GNU C extension <https://gcc.gnu.org/onlinedocs/gcc/Zero-Length.html>`_
 253 was introduced to allow for zero-length arrays, to avoid these kinds of
 254 size problems::
 255
 256         struct something {
 257                 size_t count;
 258                 struct foo items[0];
 259         };
 260
 261 But this led to other problems, and didn't solve some problems shared by
 262 both styles, like not being able to detect when such an array is accidentally
 263 being used _not_ at the end of a structure (which could happen directly, or
 264 when such a struct was in unions, structs of structs, etc).
 265
 266 C99 introduced "flexible array members", which lacks a numeric size for
 267 the array declaration entirely::
 268
 269         struct something {
 270                 size_t count;
 271                 struct foo items[];
 272         };
 273
 274 This is the way the kernel expects dynamically sized trailing elements
 275 to be declared. It allows the compiler to generate errors when the
 276 flexible array does not occur last in the structure, which helps to prevent
 277 some kind of `undefined behavior
 278 <https://git.kernel.org/linus/76497732932f15e7323dc805e8ea8dc11bb587cf>`_
 279 bugs from being inadvertently introduced to the codebase. It also allows
 280 the compiler to correctly analyze array sizes (via sizeof(),
 281 `CONFIG_FORTIFY_SOURCE`, and `CONFIG_UBSAN_BOUNDS`). For instance,
 282 there is no mechanism that warns us that the following application of the
 283 sizeof() operator to a zero-length array always results in zero::
 284
 285         struct something {
 286                 size_t count;
 287                 struct foo items[0];
 288         };
 289
 290         struct something *instance;
 291
 292         instance = kmalloc(struct_size(instance, items, count), GFP_KERNEL);
 293         instance->count = count;
 294
 295         size = sizeof(instance->items) * instance->count;
 296         memcpy(instance->items, source, size);
 297
 298 At the last line of code above, ``size`` turns out to be ``zero``, when one might
 299 have thought it represents the total size in bytes of the dynamic memory recently
 300 allocated for the trailing array ``items``. Here are a couple examples of this
 301 issue: `link 1
 302 <https://git.kernel.org/linus/f2cd32a443da694ac4e28fbf4ac6f9d5cc63a539>`_,
 303 `link 2
 304 <https://git.kernel.org/linus/ab91c2a89f86be2898cee208d492816ec238b2cf>`_.
 305 Instead, `flexible array members have incomplete type, and so the sizeof()
 306 operator may not be applied <https://gcc.gnu.org/onlinedocs/gcc/Zero-Length.html>`_,
 307 so any misuse of such operators will be immediately noticed at build time.
 308
 309 With respect to one-element arrays, one has to be acutely aware that `such arrays
 310 occupy at least as much space as a single object of the type
 311 <https://gcc.gnu.org/onlinedocs/gcc/Zero-Length.html>`_,
 312 hence they contribute to the size of the enclosing structure. This is prone
 313 to error every time people want to calculate the total size of dynamic memory
 314 to allocate for a structure containing an array of this kind as a member::
 315
 316         struct something {
 317                 size_t count;
 318                 struct foo items[1];
 319         };
 320
 321         struct something *instance;
 322
 323         instance = kmalloc(struct_size(instance, items, count - 1), GFP_KERNEL);
 324         instance->count = count;
 325
 326         size = sizeof(instance->items) * instance->count;
 327         memcpy(instance->items, source, size);
 328
 329 In the example above, we had to remember to calculate ``count - 1`` when using
 330 the struct_size() helper, otherwise we would have --unintentionally-- allocated
 331 memory for one too many ``items`` objects. The cleanest and least error-prone way
 332 to implement this is through the use of a `flexible array member`, together with
 333 struct_size() and flex_array_size() helpers::
 334
 335         struct something {
 336                 size_t count;
 337                 struct foo items[];
 338         };
 339
 340         struct something *instance;
 341
 342         instance = kmalloc(struct_size(instance, items, count), GFP_KERNEL);
 343         instance->count = count;
 344
 345         memcpy(instance->items, source, flex_array_size(instance, items, instance->count));