Vulnerabilidad en kernel de Linux (CVE-2024-26935)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: core: corrige la regresión del directorio del host procfs no eliminado. el commit fc663711b944 ("scsi: core: elimina el directorio /proc/scsi/${proc_name} anteriormente") corrigió un error relacionado con carga/descarga de módulos, agregando una llamada a scsi_proc_hostdir_rm() en scsi_remove_host(). Pero eso llevó a una posible llamada duplicada a la rutina hostdir_rm(), ya que también se llama desde scsi_host_dev_release(). Eso desencadenó un informe de regresión, que luego se solucionó mediante el commit be03df3d4bfe ("scsi: core: Fix a procfs host directorio de eliminación de regresión"). La solución simplemente eliminó la llamada hostdir_rm() desde dev_release(). Pero sucede que este directorio proc se crea en scsi_host_alloc(), y esa función se "empareja" con scsi_host_dev_release(), mientras que scsi_remove_host() se empareja con scsi_add_host(). En otras palabras, parece que la razón para eliminar el directorio proc en dev_release() fue para cubrir casos en los que se asignó una estructura de host SCSI, pero la llamada a scsi_add_host() no ocurrió. Y ese patrón existe en algunas rutas de error, por ejemplo. Syzkaller provoca que, al utilizar un dispositivo USB sin formato, se produzca un error en el controlador de almacenamiento USB, en usb_stor_probe2(). Al verificar esa ruta, podemos ver que la etiqueta BadDevice conduce a scsi_host_put() después de una asignación de host SCSI, pero no hay ninguna llamada a scsi_add_host() en dicha ruta. Eso lleva a mensajes como este en dmesg (y una fuga de la estructura del proceso del host SCSI): usb-storage 4-1:87.51: Dispositivo de almacenamiento masivo USB detectado proc_dir_entry 'scsi/usb-storage' ya registrado ADVERTENCIA: CPU: 1 PID : 3519 en fs/proc/generic.c:377 proc_register+0x347/0x4e0 fs/proc/generic.c:376 La solución adecuada parece seguir llamando a scsi_proc_hostdir_rm() en dev_release(), pero guárdela con la verificación de estado para SHOST_CREATED ; incluso hay un comentario en scsi_host_dev_release() que detalla que: dicho condicional está destinado a casos en los que se asignó el host SCSI pero no hubo llamadas a {add,remove}_host(), como el caso del almacenamiento USB. Esto es lo que proponemos aquí y con eso, la ruta de error del almacenamiento USB ya no activa la advertencia.