Vulnerabilidad en kernel de Linux (CVE-2023-53045)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: u_audio: no permitir que el espacio de usuario bloquee la desvinculación del controlador. En la llamada de desvinculación para f_uac1 y f_uac2, una llamada a snd_card_free() mediante g_audio_cleanup() desconectará la tarjeta y esperará a que se liberen todos los recursos, lo que ocurre cuando el recuento de referencias llega a cero. Dado que el espacio de usuario puede mantener el recuento de referencias incrementado al no cerrar el descriptor de archivo correspondiente, la llamada a desvinculación podría bloquearse indefinidamente. Esto puede causar un bloqueo durante el reinicio, como lo demuestra la siguiente tarea bloqueada observada en mi máquina: task:reboot state:D stack:0 pid:2827 ppid:569 flags:0x0000000c Rastreo de llamadas: __switch_to+0xc8/0x140 __schedule+0x2f0/0x7c0 schedule+0x60/0xd0 schedule_timeout+0x180/0x1d4 wait_for_completion+0x78/0x180 snd_card_free+0x90/0xa0 g_audio_cleanup+0x2c/0x64 afunc_unbind+0x28/0x60 ... kernel_restart+0x4c/0xac __do_sys_reboot+0xcc/0x1ec __arm64_sys_reboot+0x28/0x30 invoke_syscall+0x4c/0x110 ... El problema también se puede observar al abrir la tarjeta con arecord y luego detener el proceso a través del shell antes de desvincular: # arecord -D hw:UAC2Gadget -f S32_LE -c 2 -r 48000 /dev/null Recording WAVE '/dev/null' : Signed 32 bit Little Endian, Rate 48000 Hz, Stereo ^Z[1]+ Stopped arecord -D hw:UAC2Gadget -f S32_LE -c 2 -r 48000 /dev/null # echo gadget.0 > /sys/bus/gadget/drivers/configfs-gadget/unbind (observe que el comando de desvinculación nunca finaliza) Corrija el problema usando snd_card_free_when_closed() en su lugar, que aún desconectará la tarjeta como se desea, pero pospondrá la tarea de liberar los recursos al núcleo una vez que el espacio de usuario cierre su descriptor de archivo.