Vulnerabilidad en kernel de Linux (CVE-2024-50301)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: security/keys: corrección de slab-out-of-bounds en key_task_permission KASAN informa una lectura fuera de los límites: ERROR: KASAN: slab-out-of-bounds en __kuid_val include/linux/uidgid.h:36 ERROR: KASAN: slab-out-of-bounds en uid_eq include/linux/uidgid.h:63 [en línea] ERROR: KASAN: slab-out-of-bounds en key_task_permission+0x394/0x410 security/keys/permission.c:54 Lectura de tamaño 4 en la dirección ffff88813c3ab618 por la tarea stress-ng/4362 CPU: 2 PID: 4362 Comm: stress-ng No contaminado 5.10.0-14930-gafbffd6c3ede #15 Seguimiento de llamadas: __dump_stack lib/dump_stack.c:82 [en línea] dump_stack+0x107/0x167 lib/dump_stack.c:123 print_address_description.constprop.0+0x19/0x170 mm/kasan/report.c:400 __kasan_report.cold+0x6c/0x84 mm/kasan/report.c:560 kasan_report+0x3a/0x50 mm/kasan/report.c:585 __kuid_val include/linux/uidgid.h:36 [en línea] uid_eq include/linux/uidgid.h:63 [en línea] key_task_permission+0x394/0x410 security/keys/permission.c:54 search_nested_keyrings+0x90e/0xe90 security/keys/keyring.c:793 Este problema también fue informado por syzbot. Puede reproducirse siguiendo estos pasos (más detalles [1]): 1. Obtenga más de 32 entradas que tengan hashes similares, que terminen con el patrón '0xxxxxxxe6'. 2. Reinicie y agregue las claves obtenidas en el paso 1. El reproductor demuestra cómo sucedió este problema: 1. En la función search_nested_keyrings, cuando itera a través de las ranuras en un nodo (debajo de la etiqueta ascend_to_node), si el puntero de la ranura es meta y node->back_pointer != NULL (significa una raíz), procederá a descend_to_node. Sin embargo, hay una excepción. Si el nodo es la raíz y una de las ranuras apunta a un acceso directo, se tratará como un llavero. 2. Si el ptr es un llavero lo decide la función keyring_ptr_is_keyring. Sin embargo, KEYRING_PTR_SUBTYPE es 0x2UL, lo mismo que ASSOC_ARRAY_PTR_SUBTYPE_MASK. 3. Cuando se agregan 32 claves con hashes similares al árbol, la RAÍZ tiene claves con hashes que no son similares (por ejemplo, la ranura 0) y divide el NODO A sin usar un acceso directo. Cuando el NODO A se llena con claves en las que todos los hashes son xxe6, las claves son similares, el NODO A se dividirá con un acceso directo. Finalmente, forma el árbol como se muestra a continuación, donde la ranura 6 apunta a un acceso directo. NODO A +------>+---+ RAÍZ | | 0 | xxe6 +---+ | +---+ xxxx | 0 | acceso directo : : xxe6 +---+ | +---+ xxe6 : : | | | xxe6 +---+ | +---+ | 6 |---+ : : xxe6 +---+ +---+ xxe6 : : | f | xxe6 +---+ +---+ xxe6 | f | +---+ 4. Como se mencionó anteriormente, si una ranura (ranura 6) de la raíz apunta a un acceso directo, puede transferirse por error a una clave*, lo que lleva a una lectura fuera de los límites. Para solucionar este problema, uno debe saltar a descend_to_node si el ptr es un acceso directo, independientemente de si el nodo es raíz o no. [1] https://lore.kernel.org/linux-kernel/1cfa878e-8c7b-4570-8606-21daf5e13ce7@huaweicloud.com/ [jarkko: modifiqué un poco el mensaje de confirmación para tener una etiqueta de cierre apropiada].