Vulnerabilidad en kernel de Linux (CVE-2024-26780)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: af_unix: se corrigió la tarea bloqueada al purgar oob_skb en GC. syzbot informó que se había colgado una tarea; al mismo tiempo, GC hacía un bucle infinito en list_for_each_entry_safe() para OOB skb. [0] syzbot demostró que list_for_each_entry_safe() en realidad no era seguro en este caso. Un solo skb podría tener referencias para múltiples sockets. Si liberamos dicho skb en list_for_each_entry_safe(), los sockets actual y siguiente podrían desvincularse en una sola iteración. unix_notinflight() usa list_del_init() para desvincular el socket, por lo que el siguiente socket precargado forma un bucle y list_for_each_entry_safe() nunca se detiene. Aquí, debemos usar while() y asegurarnos de buscar siempre el primer socket. [0]: Envío de NMI desde la CPU 0 a las CPU 1: seguimiento de NMI para la CPU 1 CPU: 1 PID: 5065 Comm: syz-executor236 Not tainted 6.8.0-rc3-syzkaller-00136-g1f719a2f3fa6 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 25/01/2024 RIP: 0010:preempt_count arch/x86/include/asm/preempt.h:26 [en línea] RIP: 0010:check_kcov_mode kernel/kcov.c:173 [en línea] RIP : 0010:__sanitizer_cov_trace_pc+0xd/0x60 kernel/kcov.c:207 Código: cc cc cc cc 66 0f 1f 84 00 00 00 00 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 f3 0f 1e fa 65 48 8b 14 25 40 c2 03 00 <65> 8b 05 b4 7c 78 7e a9 00 01 ff 00 48 8b 34 24 74 0f f6 c4 01 74 RSP: 0018:ffffc900033efa58 EFLAGS: 00000283 RAX: ffff88807b077800 RBX: ffff88807b077800 RCX: 1ffffffff27b1189 RDX: ffff88802a5a3b80 RSI: ffffffff8968488d RDI: ffff88807b077f70 RBP: ffffc900033efbb0 R08: 00000000000000001 R09: ffffbfff27a900c R10: ffffffff93d48067 R11: ffffffff8ae000eb R12: ffff88807b077800 R13: dffffc0000000000 R14: ffff88807b077e40 R15: 00000000000000001 FS: 0000000000000000(0000) GS:ffff888 0b9500000(0000) knlGS: 0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000564f4fc1e3a8 CR3: 000000000d57a000 CR4: 00000000003506f0 DR0: 00 00000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: unix_gc+0x563/0x13b0 net/unix/garbage.c:319 unix_release_sock+0xa93/0xf80 net/unix/af_unix.c:683 unix_release+0x91/0xf0 net/unix/af_unix.c:1064 __sock_release+0xb0/0x270 net/socket.c:659 sock_close+0x1c/0x30 net/socket.c:1421 __fput+0x270/0xb80 fs/file_table.c:376 task_work_run+0x14f/0x250 kernel/task_work.c:180 exit_task_work include/linux/task_work. h:38 [en línea] do_exit+0xa8a/0x2ad0 kernel/exit.c:871 do_group_exit+0xd4/0x2a0 kernel/exit.c:1020 __do_sys_exit_group kernel/exit.c:1031 [en línea] __se_sys_exit_group kernel/exit.c:1029 [ en línea] __x64_sys_exit_group+0x3e/0x50 kernel/exit.c:1029 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xd5/0x270 arch/x86/entry/common.c:83 Entry_SYSCALL_64_after_hwframe+0x6f/ 0x77 RIP: 0033:0x7f9d6cbdac09 Código: No se puede acceder a los bytes del código de operación en 0x7f9d6cbdabdf. RSP: 002b:00007fff5952feb8 EFLAGS: 00000246 ORIG_RAX: 00000000000000e7 RAX: ffffffffffffffda RBX: 00000000000000000 RCX: 00007f9d6cbdac09 RDX: 00000000 0000003c RSI: 00000000000000e7 RDI: 00000000000000000 RBP: 00007f9d6cc552b0 R08: ffffffffffffffffb8 R09: 0000000000000006 R10: 00000000000000006 R1 1: 0000000000000246 R12: 00007f9d6cc552b0 R13: 0000000000000000 R14: 00007f9d6cc55d00 R15: 00007f9d6cbabe70