Vulnerabilidad en kernel de Linux (CVE-2024-26853)

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: igc: evita devolver la trama dos veces en XDP_REDIRECT Cuando una trama no se puede transmitir en XDP_REDIRECT (por ejemplo, debido a una cola llena), es necesario liberarla llamando a xdp_return_frame_rx_napi. Sin embargo, esto es responsabilidad de quien llama a ndo_xdp_xmit (ver, por ejemplo, bq_xmit_all en kernel/bpf/devmap.c) y, por lo tanto, llamarlo dentro de igc_xdp_xmit (que es el ndo_xdp_xmit del controlador igc) también provocará daños en la memoria. De hecho, bq_xmit_all espera poder devolver todas las tramas después de la última transmitida con éxito. Por lo tanto, interrumpa el primer cuadro no transmitido, pero no llame a xdp_return_frame_rx_napi en igc_xdp_xmit. Esto se implementa igualmente en otros controladores Intel como el igb. Hay dos alternativas a esto que fueron rechazadas: 1. Devolver num_frames ya que se habrían transmitido todas las tramas y liberarlas dentro de igc_xdp_xmit. Si bien podría funcionar técnicamente, no es lo que debe representar el valor de retorno (es decir, el número de paquetes transmitidos CON ÉXITO). 2. Vuelva a trabajar kernel/bpf/devmap.c y todos los controladores para admitir paquetes descartados no consecutivos. Además de ser complejo, es probable que tenga un impacto negativo en el rendimiento sin una ganancia significativa, ya que de todos modos es poco probable que se pueda transmitir la siguiente trama si se eliminó la anterior. La corrupción de la memoria se puede reproducir con el siguiente script, lo que provoca un pánico en el kernel después de unos segundos. Básicamente, genera más tráfico del que puede transmitir una NIC i225 y lo envía a través de XDP_REDIRECT desde una interfaz virtual a la interfaz física donde se eliminan las tramas. #!/bin/bash INTERFACE=enp4s0 INTERFACE_IDX=`cat /sys/class/net/$INTERFACE/ifindex` sudo ip link agregar dev veth1 tipo veth nombre del par veth2 sudo ip link set up $INTERFACE sudo ip link set up veth1 sudo enlace ip configurado veth2 cat << EOF > redirección.bpf.c SEC("prog") int redirección(struct xdp_md *ctx) { return bpf_redirect($INTERFACE_IDX, 0); } char _license[] SEC("licencia") = "GPL"; EOF clang -O2 -g -Wall -target bpf -c redirección.bpf.c -o redirección.bpf.o sudo ip link set veth2 xdp obj redirección.bpf.o cat << EOF > pass.bpf.c SEC(" prog") int pass(struct xdp_md *ctx) { return XDP_PASS; } char _license[] SEC("licencia") = "GPL"; EOF clang -O2 -g -Wall -target bpf -c pass.bpf.c -o pass.bpf.o sudo ip link set $INTERFACE xdp obj pass.bpf.o cat << EOF > trafgen.cfg { /* Ethernet Encabezado */ 0xe8, 0x6a, 0x64, 0x41, 0xbf, 0x46, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, const16(ETH_P_IP), /* Encabezado IPv4 */ 0b01000101, 0, # Versión IPv4, IHL, TOS const16 (1028), # Longitud total de IPv4 (longitud UDP + 20 bytes (encabezado IP)) const16(2), # Identificador de IPv4 0b01000000, 0, # Banderas de IPv4, fragmentación desactivada 64, # IPv4 TTL 17, # Protocolo UDP csumip(14 , 33), # Suma de comprobación IPv4 /* Encabezado UDP */ 10, 0, 1, 1, # IP Src - adaptar según sea necesario 10, 0, 1, 2, # IP Dest - adaptar según sea necesario const16(6666), # UDP Puerto Src const16(6666), # Puerto de destino UDP const16(1008), # Longitud UDP (encabezado UDP 8 bytes + longitud de carga útil) csumudp(14, 34), # Suma de comprobación UDP /* Carga útil */ fill('W', 1000 ), } EOF sudo trafgen -i trafgen.cfg -b3000MB -o veth1 --cpp