Điều kiện chủng tộc trong glibc/NPTL/Linux mạnh mẽ mutexes?

Question

Trong một bình luận về câu hỏi Automatically release mutex on crashes in Unix trở lại trong năm 2010, jilles tuyên bố: mutexes mạnh mẽ

glibc của rất nhanh vì glibc mất phím tắt nguy hiểm. Không có gì đảm bảo rằng mutex vẫn tồn tại khi hạt nhân đánh dấu nó là "sẽ gây ra EOWNERDEAD". Nếu mutex bị phá hủy và bộ nhớ được thay thế bởi một tập tin ánh xạ bộ nhớ có chứa ID của chủ sở hữu cuối cùng ở đúng vị trí và chủ sở hữu cuối cùng chấm dứt ngay sau khi viết từ khóa (nhưng trước khi gỡ bỏ hoàn toàn mutex khỏi danh sách sở hữu mutexes), tệp bị hỏng. Solaris và will-be-FreeBSD9 mạnh mẽ mutexes là chậm hơn bởi vì họ không muốn chấp nhận rủi ro này.

Tôi không thể thực hiện bất kỳ khiếu nại nào, vì phá hủy một mutex không hợp pháp trừ khi nó được mở khóa (và do đó không nằm trong danh sách mạnh mẽ của bất kỳ chủ đề nào). Tôi cũng không thể tìm thấy bất kỳ tài liệu tham khảo nào tìm kiếm lỗi/vấn đề như vậy. Đơn kiện chỉ đơn giản là sai lầm?

Lý do tôi hỏi và tôi quan tâm là điều này có liên quan đến tính chính xác của việc triển khai của chính tôi được xây dựng dựa trên cùng một nguyên tắc mạnh mẽ của Linux-mutex.

Answer 1

Mô tả cuộc đua của nhà phát triển FreeBSD pthread David Xu: http://lists.freebsd.org/pipermail/svn-src-user/2010-November/003668.html

Tôi không nghĩ rằng chu trình munmap/mmap là bắt buộc đối với cuộc đua. Các mảnh bộ nhớ chia sẻ có thể được đưa vào một sử dụng khác nhau là tốt. Điều này là không phổ biến nhưng hợp lệ.

Như cũng được đề cập trong thông báo đó, nhiều "vui" xảy ra hơn nếu các chủ đề có đặc quyền khác nhau truy cập một mutex mạnh mẽ thông thường. Bởi vì nút cho danh sách các mutex mạnh được sở hữu nằm trong chính mutex, một chuỗi có đặc quyền thấp có thể làm hỏng danh sách luồng của đặc quyền cao.Điều này có thể được khai thác một cách dễ dàng để làm cho sự cố thread đặc quyền cao và trong trường hợp hiếm hoi điều này có thể cho phép bộ nhớ của đặc quyền cao bị hỏng. Rõ ràng các mutex mạnh mẽ của Linux chỉ được thiết kế để sử dụng bởi các luồng có cùng đặc quyền. Điều này có thể tránh được dễ dàng bằng cách làm cho danh sách mạnh mẽ trở thành một mảng hoàn toàn trong bộ nhớ của luồng thay vì một danh sách liên kết.

Answer 2

Tôi nghĩ rằng tôi đã tìm thấy cuộc đua, và nó thực sự rất xấu xí. Nó giống như thế này:

Chủ đề A đã tổ chức mutex mạnh mẽ và mở khóa. Quy trình cơ bản là:

1. Đặt nó vào vị trí "đang chờ xử lý" của tiêu đề danh sách mạnh mẽ của chuỗi.
2. Xóa sách khỏi danh sách liên kết các mutex mạnh được tổ chức bởi chuỗi hiện tại.
3. Mở khóa mutex.
4. Xóa khe "đang chờ xử lý" của tiêu đề danh sách mạnh mẽ của chuỗi.

Vấn đề là giữa các bước 3 và 4, một chuỗi khác trong cùng một quy trình có thể có được mutex, sau đó mở khóa và (đúng) tin tưởng là người dùng cuối cùng của mutex, hủy và miễn phí/munmap nó. Sau đó, nếu bất kỳ luồng nào trong quá trình tạo bản đồ được chia sẻ của một tệp, thiết bị hoặc bộ nhớ dùng chung và nó sẽ xảy ra để được chỉ định cùng một địa chỉ và giá trị tại vị trí đó sẽ khớp với pid của chuỗi vẫn còn giữa các bước 3 và 4 của mở khóa, bạn có một tình huống theo đó, nếu quá trình này bị giết, hạt nhân sẽ làm hỏng các tập tin ánh xạ bằng cách thiết lập bit cao của một số nguyên 32-bit nó nghĩ là id chủ sở hữu mutex.

Giải pháp là để tổ chức một khóa toàn cầu về mmap/munmap giữa bước 2 và 4 trên đây, hoàn toàn giống như trong giải pháp của tôi để các vấn đề rào cản được mô tả trong câu trả lời của tôi cho câu hỏi này:

Can a correct fail-safe process-shared barrier be implemented on Linux?