Detect integer overflow in array_set_slice().
authorNathan Bossart <[email protected]>
Wed, 24 Jul 2024 02:59:02 +0000 (21:59 -0500)
committerNathan Bossart <[email protected]>
Wed, 24 Jul 2024 02:59:02 +0000 (21:59 -0500)
When provided an empty initial array, array_set_slice() fails to
check for overflow when computing the new array's dimensions.
While such overflows are ordinarily caught by ArrayGetNItems(),
commands with the following form are accepted:

INSERT INTO t (i[-2147483648:2147483647]) VALUES ('{}');

To fix, perform the hazardous computations using overflow-detecting
arithmetic routines.  As with commit 18b585155a, the added test
cases generate errors that include a platform-dependent value, so
we again use psql's VERBOSITY parameter to suppress printing the
message text.

Reported-by: Alexander Lakhin
Author: Joseph Koshakow
Reviewed-by: Jian He
Discussion: https://postgr.es/m/31ad2cd1-db94-bdb3-f91a-65ffdb4bef95%40gmail.com
Backpatch-through: 12

src/backend/utils/adt/arrayfuncs.c
src/test/regress/expected/arrays.out
src/test/regress/sql/arrays.sql

index 49817303a9bc2fcb77a3d777bc2324db8ed6203f..37916774da66f5c191e0ce9d7cc3b8184c8b0105 100644 (file)
@@ -2871,7 +2871,14 @@ array_set_slice(Datum arraydatum,
                         errdetail("When assigning to a slice of an empty array value,"
                                   " slice boundaries must be fully specified.")));
 
-           dim[i] = 1 + upperIndx[i] - lowerIndx[i];
+           /* compute "upperIndx[i] - lowerIndx[i] + 1", detecting overflow */
+           if (pg_sub_s32_overflow(upperIndx[i], lowerIndx[i], &dim[i]) ||
+               pg_add_s32_overflow(dim[i], 1, &dim[i]))
+               ereport(ERROR,
+                       (errcode(ERRCODE_PROGRAM_LIMIT_EXCEEDED),
+                        errmsg("array size exceeds the maximum allowed (%d)",
+                               (int) MaxArraySize)));
+
            lb[i] = lowerIndx[i];
        }
 
index e4ec394bc4013ed928f3f2ee3df88c0ceeb0bd34..a09f21580f26e429b965ac10813bb514f4b05255 100644 (file)
@@ -1356,6 +1356,10 @@ update arr_pk_tbl set f1[2147483647] = 42 where pk = 10;
 ERROR:  54000
 update arr_pk_tbl set f1[2147483646:2147483647] = array[4,2] where pk = 10;
 ERROR:  54000
+insert into arr_pk_tbl(pk, f1[0:2147483647]) values (2, '{}');
+ERROR:  54000
+insert into arr_pk_tbl(pk, f1[-2147483648:2147483647]) values (2, '{}');
+ERROR:  54000
 -- also exercise the expanded-array case
 do $$ declare a int[];
 begin
index 4ad6e556c2984f3d86bbf50f1917f03a81be2960..069f8016fb622b66f8fd69a470285cf88575df03 100644 (file)
@@ -416,6 +416,8 @@ reset enable_bitmapscan;
 insert into arr_pk_tbl values(10, '[-2147483648:-2147483647]={1,2}');
 update arr_pk_tbl set f1[2147483647] = 42 where pk = 10;
 update arr_pk_tbl set f1[2147483646:2147483647] = array[4,2] where pk = 10;
+insert into arr_pk_tbl(pk, f1[0:2147483647]) values (2, '{}');
+insert into arr_pk_tbl(pk, f1[-2147483648:2147483647]) values (2, '{}');
 
 -- also exercise the expanded-array case
 do $$ declare a int[];