tools: tplg_parser: add bounds checking to topology object reader macros

Add tplg_check_bounds() macro that validates ctx->tplg_offset + advance
does not exceed ctx->tplg_size before advancing the offset. Apply this
check in all topology object reader macros: tplg_get_hdr,
tplg_skip_hdr_payload, tplg_get_object, tplg_get_object_priv,
tplg_get_widget, tplg_get_graph, and tplg_get_pcm.

Without these checks, a crafted .tplg file with malicious payload_size
or priv.size values can drive the offset past the end of the mapped
topology data, causing out-of-bounds reads in all subsequent object
parsing.

Signed-off-by: Jyri Sarha <jyri.sarha@intel.com>

Author: Jyri Sarha

tools/tplg_parser/include/tplg_parser/topology.h

@@ -13,6 +13,8 @@
 #include <stdbool.h>
 #include <stdarg.h>
 #include <stddef.h>
+#include <assert.h>
+#include <stdio.h>
 #include <ipc/dai.h>
 #include <ipc/topology.h>
 #include <ipc/stream.h>
@@ -194,8 +196,20 @@ struct tplg_context {
 
 #define tplg_get(ctx) ((void *)(ctx->tplg_base + ctx->tplg_offset))
 
+#define tplg_check_bounds(ctx, advance)						\
+	do {									\
+		if ((long)(advance) < 0 ||					\
+		    ctx->tplg_offset + (long)(advance) > (long)ctx->tplg_size) { \
+			printf("%s %d topology offset %ld + %ld > size %zu\n",	\
+			       __func__, __LINE__, ctx->tplg_offset,		\
+			       (long)(advance), ctx->tplg_size);		\
+			assert(0);						\
+		}								\
+	} while (0)
+
 #define tplg_get_hdr(ctx)							\
 	({struct snd_soc_tplg_hdr *ptr;						\
+	tplg_check_bounds(ctx, sizeof(*ptr));					\
 	ptr = (struct snd_soc_tplg_hdr *)(ctx->tplg_base + ctx->tplg_offset);	\
 	if (ptr->size != sizeof(*ptr)) {					\
 		printf("%s %d hdr size mismatch 0x%x:0x%zx at offset %ld\n",	\
@@ -206,30 +220,40 @@ struct tplg_context {
 
 #define tplg_skip_hdr_payload(ctx)						\
 	({struct snd_soc_tplg_hdr *ptr;						\
+	tplg_check_bounds(ctx, hdr->payload_size);				\
 	ptr = (struct snd_soc_tplg_hdr *)(ctx->tplg_base + ctx->tplg_offset);	\
 	ctx->tplg_offset += hdr->payload_size; (void *)ptr; })
 
 #define tplg_get_object(ctx, obj)						\
-	({void *ptr; ptr = ctx->tplg_base + ctx->tplg_offset;			\
+	({void *ptr;								\
+	tplg_check_bounds(ctx, sizeof(*(obj)));					\
+	ptr = ctx->tplg_base + ctx->tplg_offset;				\
 	ctx->tplg_offset += sizeof(*(obj)); ptr; })
 
 #define tplg_get_object_priv(ctx, obj, priv_size)				\
-	({void *ptr; ptr = ctx->tplg_base + ctx->tplg_offset;			\
+	({void *ptr;								\
+	tplg_check_bounds(ctx, sizeof(*(obj)) + (priv_size));			\
+	ptr = ctx->tplg_base + ctx->tplg_offset;				\
 	ctx->tplg_offset += sizeof(*(obj)) + priv_size; ptr; })
 
 #define tplg_get_widget(ctx)							\
 	({struct snd_soc_tplg_dapm_widget *w;					\
+	tplg_check_bounds(ctx, sizeof(*w));					\
 	w = (struct snd_soc_tplg_dapm_widget *)(ctx->tplg_base + ctx->tplg_offset); \
+	tplg_check_bounds(ctx, sizeof(*w) + w->priv.size);			\
 	ctx->tplg_offset += sizeof(*w) + w->priv.size; w; })
 
 #define tplg_get_graph(ctx)							\
 	({struct snd_soc_tplg_dapm_graph_elem *w;				\
+	tplg_check_bounds(ctx, sizeof(*w));					\
 	w = (struct snd_soc_tplg_dapm_graph_elem *)(ctx->tplg_base + ctx->tplg_offset); \
 	ctx->tplg_offset += sizeof(*w); w; })
 
 #define tplg_get_pcm(ctx)                                                       \
 	({struct snd_soc_tplg_pcm *pcm;                         \
+	tplg_check_bounds(ctx, sizeof(*pcm));					\
 	pcm = (struct snd_soc_tplg_pcm *)(ctx->tplg_base + ctx->tplg_offset); \
+	tplg_check_bounds(ctx, sizeof(*pcm) + pcm->priv.size);			\
 	ctx->tplg_offset += sizeof(*pcm) + pcm->priv.size; pcm; })
 
 static inline int tplg_valid_widget(struct snd_soc_tplg_dapm_widget *widget)