Vulnerabilidad en kernel de Linux (CVE-2024-50254)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Libera bits asignados dinámicamente en bpf_iter_bits_destroy() bpf_iter_bits_destroy() usa "kit->nr_bits <= 64" para comprobar si los bits están asignados dinámicamente. Sin embargo, la comprobación es incorrecta y puede causar una fuga de kmem como se muestra a continuación: objeto sin referencia 0xffff88812628c8c0 (tamaño 32): comm "swapper/0", pid 1, jiffies 4294727320 volcado hexadecimal (primeros 32 bytes): b0 c1 55 f5 81 88 ff ff f0 f0 f0 f0 f0 f0 f0 f0 f0 ..U........... f0 f0 f0 f0 f0 f0 f0 f0 f0 00 00 00 00 00 00 00 00 .............. backtrace (crc 781e32cc): [<00000000c452b4ab>] kmemleak_alloc+0x4b/0x80 [<0000000004e09f80>] __kmalloc_node_noprof+0x480/0x5c0 [<00000000597124d6>] __alloc.isra.0+0x89/0xb0 [<000000004ebfffcd>] alloc_bulk+0x2af/0x720 [<00000000d9c10145>] prefill_mem_cache+0x7f/0xb0 [<00000000ff9738ff>] bpf_mem_alloc_init+0x3e2/0x610 [<000000008b616eac>] bpf_global_ma_init+0x19/0x30 [<00000000fc473efc>] Esto se debe a que nr_bits se establecerá como cero en bpf_iter_bits_next() después de que se hayan iterado todos los bits. Solucione el problema configurando kit->bit en kit->nr_bits en lugar de configurar kit->nr_bits en cero cuando la iteración se complete en bpf_iter_bits_next(). Además, use "!nr_bits || bits >= nr_bits" para verificar si la iteración está completa y siga usando "nr_bits > 64" para indicar si los bits se asignan dinámicamente. La verificación "!nr_bits" es necesaria porque bpf_iter_bits_new() puede fallar antes de configurar kit->nr_bits, y esta condición detendrá la iteración antes de tiempo en lugar de acceder a los kit->bits liberados o puestos a cero. Teniendo en cuenta que el valor inicial de kit->bits es -1 y el tipo de kit->nr_bits es unsigned int, cambie el tipo de kit->nr_bits a int. El posible problema de desbordamiento se manejará en el siguiente parche.