Vulnerabilidad en kernel de Linux (CVE-2024-42305)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ext4: verifique el punto y el punto de dx_root antes de indexar el directorio Syzbot informa un problema de la siguiente manera: =================== ========================= ERROR: no se puede manejar el error de página para la dirección: ffffed11022e24fe PGD 23ffee067 P4D 23ffee067 PUD 0 Ups: Ups: 0000 [#1 ] PREEMPT SMP KASAN PTI CPU: 0 PID: 5079 Comm: syz-executor306 No contaminado 6.10.0-rc5-g55027e689933 #0 Seguimiento de llamada: make_indexed_dir+0xdaf/0x13c0 fs/ext4/namei.c:2341 ext4_add_entry+0x222 un /0x25d0 fs/ext4/namei.c:2451 ext4_rename fs/ext4/namei.c:3936 [en línea] text4_rename2+0x26e5/0x4370 fs/ext4/namei.c:4214 [...] ======= ====================================== La causa inmediata de este problema es que sólo hay una válida dentry para que el bloque se divida durante do_split, por lo que split==0 da como resultado accesos fuera de los límites al mapa que desencadenan el problema. do_split división sin signo dx_make_map recuento = 1 división = recuento/2 = 0; continúa = hash2 == mapa[dividido - 1].hash; ---> map[4294967295] La longitud máxima de un nombre de archivo es 255 y el tamaño mínimo de bloque es 1024, por lo que siempre se garantiza que el número de entradas sea mayor o igual a 2 cuando se llama a do_split(). Pero la imagen manipulada por syzbot no tiene punto ni puntopunto en el directorio, y la distribución de dentry en dirblock es la siguiente: bus dentry1 agujero dentry2 gratis |xx--|xx-------------|... ............|xx-------------|...............| 0 12 (8+248)=256 268 256 524 (8+256)=264 788 236 1024 Entonces, cuando se cambia el nombre de dentry1 se aumenta la longitud de name_len en 1, ni el agujero ni el espacio libre son suficientes para contener el nuevo dentry, y make_indexed_dir() es llamado. En make_indexed_dir() se supone que las dos primeras entradas del bloque de directorios deben ser punto y puntopunto, por lo que bus y dentry1 se dejan en dx_root porque se tratan como punto y puntodot, y solo dentry2 se mueve al nuevo bloque de hoja. Es por eso que el recuento es igual a 1. Por lo tanto, agregue la función auxiliar ext4_check_dx_root() para agregar más controles de cordura a los puntos y puntos antes de comenzar la conversión para evitar el problema anterior.