Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en kernel de Linux (CVE-2022-49840)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416 Utilización después de liberación
Fecha de publicación:
01/05/2025
Última modificación:
07/05/2025

Descripción

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf, test_run: Se solucionó un problema de alineación en bpf_prog_test_run_skb(). Se detectó un problema en syzkaller debido a un fallo de alineación de aarch64 si KFENCE estaba habilitado. Cuando el tamaño del programa bpf del usuario es un número impar, como 399, 407, etc., se produce un acceso no alineado a la estructura skb_shared_info. Como se ve a continuación: ERROR: KFENCE: lectura de use-after-free en __skb_clone+0x23c/0x2a0 net/core/skbuff.c:1032 Lectura de use-after-free en 0xffff6254fffac077 (en kfence-#213): __lse_atomic_add arch/arm64/include/asm/atomic_lse.h:26 [en línea] arch_atomic_add arch/arm64/include/asm/atomic.h:28 [en línea] arch_atomic_inc include/linux/atomic-arch-fallback.h:270 [en línea] atomic_inc include/asm-generic/atomic-instrumented.h:241 [en línea] __skb_clone+0x23c/0x2a0 net/core/skbuff.c:1032 skb_clone+0xf4/0x214 net/core/skbuff.c:1481 ____bpf_clone_redirect net/core/filter.c:2433 [en línea] bpf_clone_redirect+0x78/0x1c0 net/core/filter.c:2420 bpf_prog_d3839dd9068ceb51+0x80/0x330 bpf_dispatcher_nop_func include/linux/bpf.h:728 [en línea] bpf_test_run+0x3c0/0x6c0 net/bpf/test_run.c:53 bpf_prog_test_run_skb+0x638/0xa7c net/bpf/test_run.c:594 bpf_prog_test_run kernel/bpf/syscall.c:3148 [en línea] __do_sys_bpf kernel/bpf/syscall.c:4441 [en línea] __se_sys_bpf+0xad0/0x1634 kernel/bpf/syscall.c:4381 kfence-#213: 0xffff6254fffac000-0xffff6254fffac196, tamaño=407, caché=kmalloc-512 asignado por la tarea 15074 en la CPU 0 a las 1342.585390 s: kmalloc include/linux/slab.h:568 [en línea] kzalloc include/linux/slab.h:675 [en línea] bpf_test_init.isra.0+0xac/0x290 Para corregir el problema, ajustamos @size de modo que (@size + @hearoom) sea un múltiplo de SMP_CACHE_BYTES. Así nos aseguramos de que la estructura skb_shared_info esté alineada con una línea de caché.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 4.12 (incluyendo) 4.14.300 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 4.15 (incluyendo) 4.19.267 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 4.20 (incluyendo) 5.4.225 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.5 (incluyendo) 5.10.156 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.11 (incluyendo) 5.15.80 (excluyendo)
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* 5.16 (incluyendo) 6.0.10 (excluyendo)
cpe:2.3:o:linux:linux_kernel:6.1:rc1:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.1:rc2:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.1:rc3:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.1:rc4:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.1:rc5:*:*:*:*:*:*