Vulnerabilidad en kernel de Linux (CVE-2022-48901)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: btrfs: no inicie la reubicación hasta que se completen las caídas en progreso. Nos topamos con un error con una reubicación de recuperación en el montaje para uno de nuestros sistemas de archivos en producción. Reproduje esto localmente inyectando errores en la eliminación de instantáneas con el saldo ejecutándose al mismo tiempo. Esto se presentó como un error al buscar un elemento de extensión ADVERTENCIA: CPU: 5 PID: 1501 en fs/btrfs/extent-tree.c:866 lookup_inline_extent_backref+0x647/0x680 CPU: 5 PID: 1501 Comm: btrfs-balance No contaminado 5.16 .0-rc8+ #8 RIP: 0010:lookup_inline_extent_backref+0x647/0x680 RSP: 0018:ffffae0a023ab960 EFLAGS: 00010202 RAX: 0000000000000001 RBX: 0000000000000000 RCX: 000000000000000 RDX: 0000000000000000 RSI: 000000000000000c RDI: 0000000000000000 RBP: ffff943fd2a39b60 R08: 0000000000000000 R09: 000000000001 R10: 0001434088152de0 R11: 0000000000000000 R12: 0000000001d05000 R13: ffff943fd2a39b60 R14: ffff943fdb96f2a0 R15: ffff9442fc923000 FS: 000000000000000(0000) GS:ffff944e9eb40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 3: 000000010f092000 CR4: 0000000000350ee0 Seguimiento de llamadas: insert_inline_extent_backref+0x46/0xd0 __btrfs_inc_extent_ref.isra.0+0x5f/0x200 ? btrfs_merge_delayed_refs+0x164/0x190 __btrfs_run_delayed_refs+0x561/0xfa0 ? btrfs_search_slot+0x7b4/0xb30? btrfs_update_root+0x1a9/0x2c0 btrfs_run_delayed_refs+0x73/0x1f0 ? btrfs_update_root+0x1a9/0x2c0 btrfs_commit_transaction+0x50/0xa50 ? btrfs_update_reloc_root+0x122/0x220 prepare_to_merge+0x29f/0x320 relocate_block_group+0x2b8/0x550 btrfs_relocate_block_group+0x1a6/0x350 btrfs_relocate_chunk+0x27/0xe0 btrfs_balance+0x777/0xe60 balance_kthread+0x35/0x50? btrfs_balance+0xe60/0xe60 kthread+0x16b/0x190 ? set_kthread_struct+0x40/0x40 ret_from_fork+0x22/0x30 Normalmente, fs_info->cleaner_mutex excluye la ejecución simultánea de la eliminación y reubicación de instantáneas. Sin embargo, si tuviéramos un saldo pendiente esperando obtener ->cleaner_mutex, y se estuviera ejecutando una eliminación de instantánea y luego el cuadro fallara, llegaríamos a un estado en el que tendríamos una instantánea medio eliminada. Nuevamente, en el caso normal, la eliminación de la instantánea debe completarse antes de que pueda comenzar la reubicación, pero en este caso la reubicación podría muy bien comenzar antes de que se complete la eliminación de la instantánea, ya que simplemente agregamos la raíz a la lista de raíces muertas y esperamos la próxima vez que se complete la eliminación de la instantánea. El limpiador se ejecuta para limpiar la instantánea. Solucione este problema configurando un bit en fs_info si tenemos algún DEAD_ROOT que tenga una clave drop_progress pendiente. Si lo hacen, entonces sabremos que estábamos en medio de la operación de colocación y configuramos una bandera en fs_info. Luego, el saldo puede esperar hasta que se borre esta bandera para comenzar nuevamente. Si hay DEAD_ROOT que no tienen drop_progress configurado, entonces podemos comenzar a equilibrar de inmediato, ya que estaremos protegidos adecuadamente por clean_mutex.