926c332f5a73ad4111d5c4bc5053e645d2a2f46a
[opus.git] / doc / draft-ietf-codec-opus-update.xml
1 <?xml version="1.0" encoding="US-ASCII"?>
2 <!DOCTYPE rfc SYSTEM "rfc2629.dtd">
3 <?rfc toc="yes"?>
4 <?rfc tocompact="yes"?>
5 <?rfc tocdepth="3"?>
6 <?rfc tocindent="yes"?>
7 <?rfc symrefs="yes"?>
8 <?rfc sortrefs="yes"?>
9 <?rfc comments="yes"?>
10 <?rfc inline="yes"?>
11 <?rfc compact="yes"?>
12 <?rfc subcompact="no"?>
13 <rfc category="std" docName="draft-ietf-codec-opus-update-09"
14      ipr="trust200902" updates="6716">
15   <front>
16     <title abbrev="Opus Update">Updates to the Opus Audio Codec</title>
17
18 <author initials="JM" surname="Valin" fullname="Jean-Marc Valin">
19 <organization>Mozilla Corporation</organization>
20 <address>
21 <postal>
22 <street>331 E. Evelyn Avenue</street>
23 <city>Mountain View</city>
24 <region>CA</region>
25 <code>94041</code>
26 <country>USA</country>
27 </postal>
28 <phone>+1 650 903-0800</phone>
29 <email>jmvalin@jmvalin.ca</email>
30 </address>
31 </author>
32
33 <author initials="K." surname="Vos" fullname="Koen Vos">
34 <organization>vocTone</organization>
35 <address>
36 <postal>
37 <street></street>
38 <city></city>
39 <region></region>
40 <code></code>
41 <country></country>
42 </postal>
43 <phone></phone>
44 <email>koenvos74@gmail.com</email>
45 </address>
46 </author>
47
48
49
50     <date day="17" month="August" year="2017" />
51
52     <abstract>
53       <t>This document addresses minor issues that were found in the specification
54       of the Opus audio codec in RFC 6716. It updates the nornative decoder implementation
55       included in the appendix of RFC 6716. The changes fixes real and potential security-related
56       issues, as well minor quality-related issues.</t>
57     </abstract>
58   </front>
59
60   <middle>
61     <section title="Introduction">
62       <t>This document addresses minor issues that were discovered in the reference
63       implementation of the Opus codec. Unlike most IETF specifications, Opus is defined
64       in <xref target="RFC6716">RFC 6716</xref> in terms of a normative reference
65       decoder implementation rather than from the associated text description.
66       That RFC includes the reference decoder implementation as Appendix A.
67       That's why only issues affecting the decoder are
68       listed here. An up-to-date implementation of the Opus encoder can be found at
69       <eref target="https://opus-codec.org/"/>.</t>
70     <t>
71       Some of the changes in this document update normative behaviour in a way that requires
72       new test vectors. The English text of the specification is unaffected, only
73       the C implementation is. The updated specification remains fully compatible with
74       the original specification.
75     </t>
76
77     <t>
78     Note: due to RFC formatting conventions, lines exceeding the column width
79     in the patch are split using a backslash character. The backslashes
80     at the end of a line and the white space at the beginning
81     of the following line are not part of the patch. A properly formatted patch
82     including all changes is available at
83     <eref target="https://www.ietf.org/proceedings/98/slides/materials-98-codec-opus-update-00.patch"/>
84     and has a SHA-1 hash of 029e3aa88fc342c91e67a21e7bfbc9458661cd5f.
85     </t>
86
87     </section>
88
89     <section title="Terminology">
90       <t>The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",
91       "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this
92       document are to be interpreted as described in <xref
93       target="RFC2119">RFC 2119</xref>.</t>
94     </section>
95
96     <section title="Stereo State Reset in SILK">
97       <t>The reference implementation does not reinitialize the stereo state
98       during a mode switch. The old stereo memory can produce a brief impulse
99       (i.e. single sample) in the decoded audio. This can be fixed by changing
100       silk/dec_API.c at line 72:
101     </t>
102 <figure>
103 <artwork><![CDATA[
104 <CODE BEGINS>
105      for( n = 0; n < DECODER_NUM_CHANNELS; n++ ) {
106          ret  = silk_init_decoder( &channel_state[ n ] );
107      }
108 +    silk_memset(&((silk_decoder *)decState)->sStereo, 0,
109 +                sizeof(((silk_decoder *)decState)->sStereo));
110 +    /* Not strictly needed, but it's cleaner that way */
111 +    ((silk_decoder *)decState)->prev_decode_only_middle = 0;
112  
113      return ret;
114  }
115 <CODE ENDS>
116 ]]></artwork>
117 </figure>
118      <t>
119      This change affects the normative output of the decoder, but the
120      amount of change is within the tolerance and too small to make the testvector check fail.
121       </t>
122     </section>
123
124     <section anchor="padding" title="Parsing of the Opus Packet Padding">
125       <t>It was discovered that some invalid packets of very large size could trigger
126       an out-of-bounds read in the Opus packet parsing code responsible for padding.
127       This is due to an integer overflow if the signaled padding exceeds 2^31-1 bytes
128       (the actual packet may be smaller). The code can be fixed by decrementing the
129       (signed) len value, instead of incrementing a separate padding counter.
130       This is done by applying the following changes at line 596 of src/opus_decoder.c:
131     </t>
132 <figure>
133 <artwork><![CDATA[
134 <CODE BEGINS>
135        /* Padding flag is bit 6 */
136        if (ch&0x40)
137        {
138 -         int padding=0;
139           int p;
140           do {
141              if (len<=0)
142                 return OPUS_INVALID_PACKET;
143              p = *data++;
144              len--;
145 -            padding += p==255 ? 254: p;
146 +            len -= p==255 ? 254: p;
147           } while (p==255);
148 -         len -= padding;
149        }
150 <CODE ENDS>
151 ]]></artwork>
152 </figure>
153       <t>This packet parsing issue is limited to reading memory up
154          to about 60 kB beyond the compressed buffer. This can only be triggered
155          by a compressed packet more than about 16 MB long, so it's not a problem
156          for RTP. In theory, it could crash a file
157          decoder (e.g. Opus in Ogg) if the memory just after the incoming packet
158          is out-of-range, but our attempts to trigger such a crash in a production
159          application built using an affected version of the Opus decoder failed.</t>
160     </section>
161
162     <section anchor="resampler" title="Resampler buffer">
163       <t>The SILK resampler had the following issues:
164         <list style="numbers">
165     <t>The calls to memcpy() were using sizeof(opus_int32), but the type of the
166         local buffer was opus_int16.</t>
167     <t>Because the size was wrong, this potentially allowed the source
168         and destination regions of the memcpy() to overlap on the copy from "buf" to "buf".
169           We believe that nSamplesIn (number of input samples) is at least fs_in_khZ (sampling rate in kHz),
170           which is at least 8.
171        Since RESAMPLER_ORDER_FIR_12 is only 8, that should not be a problem once
172        the type size is fixed.</t>
173           <t>The size of the buffer used RESAMPLER_MAX_BATCH_SIZE_IN, but the
174         data stored in it was actually twice the input batch size
175         (nSamplesIn&lt;&lt;1).</t>
176       </list></t>
177       <t>
178       The allocated buffers involved (buf and S->sFIR) are actually larger than they need to be for
179       the batch size used, so no out-of-bounds read or write is possible. Therefore the bug cannot be
180       exploited.
181     </t>
182     <t>The code can be fixed by applying the following changes to line 78 of silk/resampler_private_IIR_FIR.c:
183     </t>
184 <figure>
185 <artwork><![CDATA[
186 <CODE BEGINS>
187  )
188  {
189      silk_resampler_state_struct *S = \
190 (silk_resampler_state_struct *)SS;
191      opus_int32 nSamplesIn;
192      opus_int32 max_index_Q16, index_increment_Q16;
193 -    opus_int16 buf[ RESAMPLER_MAX_BATCH_SIZE_IN + \
194 RESAMPLER_ORDER_FIR_12 ];
195 +    opus_int16 buf[ 2*RESAMPLER_MAX_BATCH_SIZE_IN + \
196 RESAMPLER_ORDER_FIR_12 ];
197  
198      /* Copy buffered samples to start of buffer */
199 -    silk_memcpy( buf, S->sFIR, RESAMPLER_ORDER_FIR_12 \
200 * sizeof( opus_int32 ) );
201 +    silk_memcpy( buf, S->sFIR, RESAMPLER_ORDER_FIR_12 \
202 * sizeof( opus_int16 ) );
203  
204      /* Iterate over blocks of frameSizeIn input samples */
205      index_increment_Q16 = S->invRatio_Q16;
206      while( 1 ) {
207          nSamplesIn = silk_min( inLen, S->batchSize );
208  
209          /* Upsample 2x */
210          silk_resampler_private_up2_HQ( S->sIIR, &buf[ \
211 RESAMPLER_ORDER_FIR_12 ], in, nSamplesIn );
212  
213          max_index_Q16 = silk_LSHIFT32( nSamplesIn, 16 + 1 \
214 );         /* + 1 because 2x upsampling */
215          out = silk_resampler_private_IIR_FIR_INTERPOL( out, \
216 buf, max_index_Q16, index_increment_Q16 );
217          in += nSamplesIn;
218          inLen -= nSamplesIn;
219  
220          if( inLen > 0 ) {
221              /* More iterations to do; copy last part of \
222 filtered signal to beginning of buffer */
223 -            silk_memcpy( buf, &buf[ nSamplesIn << 1 ], \
224 RESAMPLER_ORDER_FIR_12 * sizeof( opus_int32 ) );
225 +            silk_memmove( buf, &buf[ nSamplesIn << 1 ], \
226 RESAMPLER_ORDER_FIR_12 * sizeof( opus_int16 ) );
227          } else {
228              break;
229          }
230      }
231  
232      /* Copy last part of filtered signal to the state for \
233 the next call */
234 -    silk_memcpy( S->sFIR, &buf[ nSamplesIn << 1 ], \
235 RESAMPLER_ORDER_FIR_12 * sizeof( opus_int32 ) );
236 +    silk_memcpy( S->sFIR, &buf[ nSamplesIn << 1 ], \
237 RESAMPLER_ORDER_FIR_12 * sizeof( opus_int16 ) );
238  }
239 <CODE ENDS>
240 ]]></artwork>
241 </figure>
242     </section>
243
244     <section title="Integer wrap-around in inverse gain computation">
245       <t>
246         It was discovered through decoder fuzzing that some bitstreams could produce
247         integer values exceeding 32-bits in LPC_inverse_pred_gain_QA(), causing
248         a wrap-around. Although the authors are not aware of any way to exploit the bug,
249         the C standard considers
250         the behavior as undefined. The following patch to line 87 of silk/LPC_inv_pred_gain.c
251         detects values that do not fit in a 32-bit integer and considers the corresponding filters unstable:
252       </t>
253 <figure>
254 <artwork><![CDATA[
255 <CODE BEGINS>
256          /* Update AR coefficient */
257          for( n = 0; n < k; n++ ) {
258 -            tmp_QA = Aold_QA[ n ] - MUL32_FRAC_Q( \
259 Aold_QA[ k - n - 1 ], rc_Q31, 31 );
260 -            Anew_QA[ n ] = MUL32_FRAC_Q( tmp_QA, rc_mult2 , mult2Q );
261 +            opus_int64 tmp64;
262 +            tmp_QA = silk_SUB_SAT32( Aold_QA[ n ], MUL32_FRAC_Q( \
263 Aold_QA[ k - n - 1 ], rc_Q31, 31 ) );
264 +            tmp64 = silk_RSHIFT_ROUND64( silk_SMULL( tmp_QA, \
265 rc_mult2 ), mult2Q);
266 +            if( tmp64 > silk_int32_MAX || tmp64 < silk_int32_MIN ) {
267 +               return 0;
268 +            }
269 +            Anew_QA[ n ] = ( opus_int32 )tmp64;
270          }
271 <CODE ENDS>
272 ]]></artwork>
273 </figure>
274     </section>
275
276     <section title="Integer wrap-around in LSF decoding" anchor="lsf_overflow">
277       <t>
278         It was discovered -- also from decoder fuzzing -- that an integer wrap-around could
279         occur when decoding bitstreams with extremely large values for the high LSF parameters.
280         The end result of the wrap-around is an illegal read access on the stack, which
281         the authors do not believe is exploitable but should nonetheless be fixed. The following
282         patch to line 137 of silk/NLSF_stabilize.c prevents the problem:
283       </t>
284 <figure>
285 <artwork><![CDATA[
286 <CODE BEGINS>
287            /* Keep delta_min distance between the NLSFs */
288          for( i = 1; i < L; i++ )
289 -            NLSF_Q15[i] = silk_max_int( NLSF_Q15[i], \
290 NLSF_Q15[i-1] + NDeltaMin_Q15[i] );
291 +            NLSF_Q15[i] = silk_max_int( NLSF_Q15[i], \
292 silk_ADD_SAT16( NLSF_Q15[i-1], NDeltaMin_Q15[i] ) );
293  
294          /* Last NLSF should be no higher than 1 - NDeltaMin[L] */
295 <CODE ENDS>
296 ]]></artwork>
297 </figure>
298
299     </section>
300
301     <section title="Cap on Band Energy">
302       <t>On extreme bit-streams, it is possible for log-domain band energy levels
303         to exceed the maximum single-precision floating point value once converted
304         to a linear scale. This would later cause the decoded values to be NaN (not a number),
305         possibly causing problems in the software using the PCM values. This can be
306         avoided with the following patch to line 552 of celt/quant_bands.c:
307       </t>
308 <figure>
309 <artwork><![CDATA[
310 <CODE BEGINS>
311        {
312           opus_val16 lg = ADD16(oldEBands[i+c*m->nbEBands],
313                           SHL16((opus_val16)eMeans[i],6));
314 +         lg = MIN32(QCONST32(32.f, 16), lg);
315           eBands[i+c*m->nbEBands] = PSHR32(celt_exp2(lg),4);
316        }
317        for (;i<m->nbEBands;i++)
318 <CODE ENDS>
319 ]]></artwork>
320 </figure>
321     </section>
322
323     <section title="Hybrid Folding" anchor="folding">
324       <t>When encoding in hybrid mode at low bitrate, we sometimes only have
325         enough bits to code a single CELT band (8 - 9.6 kHz). When that happens,
326         the second band (CELT band 18, from 9.6 to 12 kHz) cannot use folding
327         because it is wider than the amount already coded, and falls back to
328         white noise. Because it can also happen on transients (e.g. stops), it
329         can cause audible pre-echo.
330       </t>
331       <t>
332         To address the issue, we change the folding behavior so that it is
333         never forced to fall back to LCG due to the first band not containing
334         enough coefficients to fold onto the second band. This
335         is achieved by simply repeating part of the first band in the folding
336         of the second band. This changes the code in celt/bands.c around line 1237:
337       </t>
338 <figure>
339 <artwork><![CDATA[
340 <CODE BEGINS>
341           b = 0;
342        }
343  
344 -      if (resynth && M*eBands[i]-N >= M*eBands[start] && \
345 (update_lowband || lowband_offset==0))
346 +      if (resynth && (M*eBands[i]-N >= M*eBands[start] || \
347 i==start+1) && (update_lowband || lowband_offset==0))
348              lowband_offset = i;
349  
350 +      if (i == start+1)
351 +      {
352 +         int n1, n2;
353 +         int offset;
354 +         n1 = M*(eBands[start+1]-eBands[start]);
355 +         n2 = M*(eBands[start+2]-eBands[start+1]);
356 +         offset = M*eBands[start];
357 +         /* Duplicate enough of the first band folding data to \
358 be able to fold the second band.
359 +            Copies no data for CELT-only mode. */
360 +         OPUS_COPY(&norm[offset+n1], &norm[offset+2*n1 - n2], n2-n1);
361 +         if (C==2)
362 +            OPUS_COPY(&norm2[offset+n1], &norm2[offset+2*n1 - n2], \
363 n2-n1);
364 +      }
365 +
366        tf_change = tf_res[i];
367        if (i>=m->effEBands)
368        {
369 <CODE ENDS>
370 ]]></artwork>
371 </figure>
372
373       <t>
374        as well as line 1260:
375       </t>
376
377 <figure>
378 <artwork><![CDATA[
379 <CODE BEGINS>
380           fold_start = lowband_offset;
381           while(M*eBands[--fold_start] > effective_lowband);
382           fold_end = lowband_offset-1;
383 -         while(M*eBands[++fold_end] < effective_lowband+N);
384 +         while(++fold_end < i && M*eBands[fold_end] < \
385 effective_lowband+N);
386           x_cm = y_cm = 0;
387           fold_i = fold_start; do {
388             x_cm |= collapse_masks[fold_i*C+0];
389
390 <CODE ENDS>
391 ]]></artwork>
392 </figure>
393       <t>
394         The fix does not impact compatibility, because the improvement does
395         not depend on the encoder doing anything special. There is also no
396         reasonable way for an encoder to use the original behavior to
397         improve quality over the proposed change.
398       </t>
399     </section>
400
401     <section title="Downmix to Mono" anchor="stereo">
402       <t>The last issue is not strictly a bug, but it is an issue that has been reported
403       when downmixing an Opus decoded stream to mono, whether this is done inside the decoder
404       or as a post-processing step on the stereo decoder output. Opus intensity stereo allows
405       optionally coding the two channels 180-degrees out of phase on a per-band basis.
406       This provides better stereo quality than forcing the two channels to be in phase,
407       but when the output is downmixed to mono, the energy in the affected bands is cancelled
408       sometimes resulting in audible artifacts.
409       </t>
410       <t>As a work-around for this issue, the decoder MAY choose not to apply the 180-degree
411       phase shift. This can be useful when downmixing to mono inside or
412       outside of the decoder (e.g. user-controllable).
413       </t>
414     </section>
415
416
417     <section title="New Test Vectors">
418       <t>Changes in <xref target="folding"/> and <xref target="stereo"/> have
419         sufficient impact on the testvectors to make them fail. For this reason,
420         this document also updates the Opus test vectors. The new test vectors now
421         include two decoded outputs for the same bitstream. The outputs with
422         suffix 'm' do not apply the CELT 180-degree phase shift as allowed in
423         <xref target="stereo"/>, while the outputs without the suffix do. An
424         implementation is compliant as long as it passes either set of vectors.
425       </t>
426       <t>
427         Any Opus implementation
428         that passes either the original test vectors from <xref target="RFC6716">RFC 6716</xref>
429         or one of the new sets of test vectors is compliant with the Opus specification. However, newer implementations
430         SHOULD be based on the new test vectors rather than the old ones.
431       </t>
432       <t>The new test vectors are located at
433         <eref target="https://www.ietf.org/proceedings/98/slides/materials-98-codec-opus-newvectors-00.tar.gz"/>.
434         The SHA-1 hashes of the test vectors are:
435 <figure>
436 <artwork>
437 <![CDATA[
438 e49b2862ceec7324790ed8019eb9744596d5be01  testvector01.bit
439 b809795ae1bcd606049d76de4ad24236257135e0  testvector02.bit
440 e0c4ecaeab44d35a2f5b6575cd996848e5ee2acc  testvector03.bit
441 a0f870cbe14ebb71fa9066ef3ee96e59c9a75187  testvector04.bit
442 9b3d92b48b965dfe9edf7b8a85edd4309f8cf7c8  testvector05.bit
443 28e66769ab17e17f72875283c14b19690cbc4e57  testvector06.bit
444 bacf467be3215fc7ec288f29e2477de1192947a6  testvector07.bit
445 ddbe08b688bbf934071f3893cd0030ce48dba12f  testvector08.bit
446 3932d9d61944dab1201645b8eeaad595d5705ecb  testvector09.bit
447 521eb2a1e0cc9c31b8b740673307c2d3b10c1900  testvector10.bit
448 6bc8f3146fcb96450c901b16c3d464ccdf4d5d96  testvector11.bit
449 338c3f1b4b97226bc60bc41038becbc6de06b28f  testvector12.bit
450 f5ef93884da6a814d311027918e9afc6f2e5c2c8  testvector01.dec
451 48ac1ff1995250a756e1e17bd32acefa8cd2b820  testvector02.dec
452 d15567e919db2d0e818727092c0af8dd9df23c95  testvector03.dec
453 1249dd28f5bd1e39a66fd6d99449dca7a8316342  testvector04.dec
454 b85675d81deef84a112c466cdff3b7aaa1d2fc76  testvector05.dec
455 55f0b191e90bfa6f98b50d01a64b44255cb4813e  testvector06.dec
456 61e8b357ab090b1801eeb578a28a6ae935e25b7b  testvector07.dec
457 a58539ee5321453b2ddf4c0f2500e856b3966862  testvector08.dec
458 bb96aad2cde188555862b7bbb3af6133851ef8f4  testvector09.dec
459 1b6cdf0413ac9965b16184b1bea129b5c0b2a37a  testvector10.dec
460 b1fff72b74666e3027801b29dbc48b31f80dee0d  testvector11.dec
461 98e09bbafed329e341c3b4052e9c4ba5fc83f9b1  testvector12.dec
462 1e7d984ea3fbb16ba998aea761f4893fbdb30157  testvector01m.dec
463 48ac1ff1995250a756e1e17bd32acefa8cd2b820  testvector02m.dec
464 d15567e919db2d0e818727092c0af8dd9df23c95  testvector03m.dec
465 1249dd28f5bd1e39a66fd6d99449dca7a8316342  testvector04m.dec
466 d70b0bad431e7d463bc3da49bd2d49f1c6d0a530  testvector05m.dec
467 6ac1648c3174c95fada565161a6c78bdbe59c77d  testvector06m.dec
468 fc5e2f709693738324fb4c8bdc0dad6dda04e713  testvector07m.dec
469 aad2ba397bf1b6a18e8e09b50e4b19627d479f00  testvector08m.dec
470 6feb7a7b9d7cdc1383baf8d5739e2a514bd0ba08  testvector09m.dec
471 1b6cdf0413ac9965b16184b1bea129b5c0b2a37a  testvector10m.dec
472 fd3d3a7b0dfbdab98d37ed9aa04b659b9fefbd18  testvector11m.dec
473 98e09bbafed329e341c3b4052e9c4ba5fc83f9b1  testvector12m.dec
474 ]]>
475 </artwork>
476 </figure>
477       Note that the decoder input bitstream files (.bit) are unchanged.
478       </t>
479     </section>
480
481     <section anchor="security" title="Security Considerations">
482       <t>This document fixes two security issues reported on Opus and that affect the
483         reference implementation in <xref target="RFC6716">RFC 6716</xref>: CVE-2013-0899
484         <eref target="https://nvd.nist.gov/vuln/detail/CVE-2013-0899"/>
485         and CVE-2017-0381 <eref target="https://nvd.nist.gov/vuln/detail/CVE-2017-0381"/>.
486         CVE-2013-0899 is fixed by <xref target="padding"/> and
487         could theoretically cause an information leak, but the
488         leaked information would at the very least go through the decoder process before
489         being accessible to the attacker. Also, the bug can only be triggered by Opus packets
490         at least 24 MB in size. CVE-2017-0381 is fixed by Section 7 and can only result in a 16-bit
491         out-of-bounds read to a fixed location 256 bytes before a constant
492         table. That location would normally be part of an executable's read-only
493         data segment, but if that is not the case, the bug could at worst
494         results in either a crash or the leakage of 16 bits of information from
495         that fixed memory location (if the attacker has access to the decoded
496         output). Despite the claims of the CVE, the bug cannot results in
497         arbitrary code execution.
498         Beyond the two fixed CVEs, this document adds no new security considerations on top of
499         <xref target="RFC6716">RFC 6716</xref>.
500       </t>
501     </section>
502
503     <section anchor="IANA" title="IANA Considerations">
504       <t>This document makes no request of IANA.</t>
505
506       <t>Note to RFC Editor: this section may be removed on publication as an
507       RFC.</t>
508     </section>
509
510     <section anchor="Acknowledgements" title="Acknowledgements">
511       <t>We would like to thank Juri Aedla for reporting the issue with the parsing of
512       the Opus padding. Thanks to Felicia Lim for reporting the LSF integer overflow issue.
513       Also, thanks to Tina le Grand, Jonathan Lennox, and Mark Harris for their
514       feedback on this document.</t>
515     </section>
516   </middle>
517
518   <back>
519     <references title="Normative References">
520       <?rfc include="http://xml.resource.org/public/rfc/bibxml/reference.RFC.2119.xml"?>
521       <?rfc include="http://xml.resource.org/public/rfc/bibxml/reference.RFC.6716.xml"?>
522
523
524     </references>
525   </back>
526 </rfc>