Vulnerabilidad en kernel de Linux (CVE-2022-49700)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/slub: añadir actualizaciones de TID faltantes en la desactivación de slab La ruta rápida en slab_alloc_node() asume que c->slab es estable siempre que el TID permanezca igual. Sin embargo, dos lugares en __slab_alloc() actualmente no actualizan el TID al desactivar el slab de la CPU. Si varias operaciones se ejecutan en la dirección correcta, esto podría provocar que se pierda un objeto; o, en una situación aún más improbable, incluso podría provocar que se libere un objeto en la lista libre del slab incorrecto, lo que arruina el contador `inuse` y eventualmente provoca que se libere una página al asignador de páginas mientras aún contiene objetos slab. (En realidad no he probado estos casos, esto se basa simplemente en mirar el código. Escribir casos de prueba para estas cosas parece que sería una molestia...) La ejecución que lleva a la inconsistencia de estado es (todas las operaciones en la misma CPU y kmem_cache): - task A: begin do_slab_free(): - read TID - read pcpu freelist (==NULL) - check `slab == c->slab` (true) - [PREEMPT A->B] - task B: begin slab_alloc_node(): - fastpath fails (`c->freelist` is NULL) - enter __slab_alloc() - slub_get_cpu_ptr() (disables preemption) - enter ___slab_alloc() - take local_lock_irqsave() - read c->freelist as NULL - get_freelist() returns NULL - write `c->slab = NULL` - drop local_unlock_irqrestore() - goto new_slab - slub_percpu_partial() is NULL - get_partial() returns NULL - slub_put_cpu_ptr() (enables preemption) - [PREEMPT B->A] - task A: finish do_slab_free(): - this_cpu_cmpxchg_double() succeeds() - [CORRUPT STATE: c->slab==NULL, c->freelist!=NULL] From there, the object on c->freelist will get lost if task B is allowed to continue from here: It will proceed to the retry_load_slab label, set c->slab, then jump to load_freelist, which clobbers c->freelist. But if we instead continue as follows, we get worse corruption: - task A: run __slab_free() on object from other struct slab: - CPU_PARTIAL_FREE case (slab was on no list, is now on pcpu partial) - task A: run slab_alloc_node() with NUMA node constraint: - fastpath fails (c->slab is NULL) - call __slab_alloc() - slub_get_cpu_ptr() (disables preemption) - enter ___slab_alloc() - c->slab is NULL: goto new_slab - slub_percpu_partial() is non-NULL - set c->slab to slub_percpu_partial(c) - [CORRUPT STATE: c->slab points to slab-1, c->freelist has objects from slab-2] - goto redo - node_match() fails - goto deactivate_slab - existing c->freelist is passed into deactivate_slab() - inuse count of slab-1 se decrementa para tener en cuenta el objeto de slab-2 En este punto, el conteo de objetos en uso de slab-1 es 1 menos de lo que debería ser. Esto significa que si liberamos todos los objetos asignados en slab-1 excepto uno, SLUB pensará que slab-1 está completamente sin usar y puede liberar su página, lo que lleva a un use-after-free.