Vulnerabilidad en kernel de Linux (CVE-2023-52886)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: USB: core: corrige la ejecución al no sobrescribir udev->descriptor en hub_port_init() Syzbot informó una lectura fuera de los límites en sysfs.c:read_descriptors(): ERROR: KASAN : slab-out-of-bounds in read_descriptors+0x263/0x280 drivers/usb/core/sysfs.c:883 Lectura de tamaño 8 en addr ffff88801e78b8c8 por tarea udevd/5011 CPU: 0 PID: 5011 Comm: udevd No contaminado 6.4. 0-rc6-syzkaller-00195-g40f71e7cd3c6 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 27/05/2023 Seguimiento de llamadas: __dump_stack lib/dump_stack.c:88 [en línea] dump_stack_lvl+0xd9 /0x150 lib/dump_stack.c:106 print_address_description.constprop.0+0x2c/0x3c0 mm/kasan/report.c:351 print_report mm/kasan/report.c:462 [en línea] kasan_report+0x11c/0x130 mm/kasan/report .c:572 read_descriptors+0x263/0x280 drivers/usb/core/sysfs.c:883 ... Asignado por la tarea 758: ... __do_kmalloc_node mm/slab_common.c:966 [en línea] __kmalloc+0x5e/0x190 mm/slab_common .c:979 kmalloc include/linux/slab.h:563 [en línea] kzalloc include/linux/slab.h:680 [en línea] usb_get_configuration+0x1f7/0x5170 drivers/usb/core/config.c:887 usb_enumerate_device drivers/usb /core/hub.c:2407 [en línea] usb_new_device+0x12b0/0x19d0 drivers/usb/core/hub.c:2545 Según lo analizado por Khazhy Kumykov, la causa de este error es una ejecución entre read_descriptors() y hub_port_init(): La primera rutina usa un campo en udev->descriptor, sin esperar que cambie, mientras que la segunda lo sobrescribe. Antes de commit 45bf39f8df7f ("USB: core: No mantener bloqueado el dispositivo mientras lee el archivo sysfs de "descriptores") esta ejecución no podía ocurrir porque las rutinas eran mutuamente excluyentes gracias al bloqueo del dispositivo. Quitar ese bloqueo de read_descriptors() lo expuso a la ejecución. La mejor manera de corregir el error es evitar que hub_port_init() cambie el descriptor udev->una vez que udev se haya inicializado y registrado. Los controladores esperan que los descriptores almacenados en el kernel sean inmutables; No debemos socavar esta expectativa. De hecho, este cambio debería haberse realizado hace mucho tiempo. Entonces ahora hub_port_init() tomará un argumento adicional, especificando un búfer en el cual almacenar el descriptor del dispositivo que lee. (Si udev aún no se ha inicializado, el puntero del búfer será NULL y luego hub_port_init() almacenará el descriptor del dispositivo en udev como antes). Esto elimina la ejecución de datos responsable de la lectura fuera de los límites. Los cambios en hub_port_init() parecen más extensos de lo que realmente son, debido a los cambios de sangría resultantes de un intento de evitar escribir en otras partes de la estructura usb_device después de que se haya inicializado. Se deben realizar cambios similares en el código que lee el descriptor BOS, pero eso se puede manejar en un parche separado más adelante. Este parche es suficiente para corregir el error encontrado por syzbot.