Vulnerabilidad en kernel de Linux (CVE-2024-53168)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sunrpc: se corrige un problema de UAF causado por el socket TCP del kernel de sunrpc ERROR: KASAN: slab-use-after-free en tcp_write_timer_handler+0x156/0x3e0 Lectura de tamaño 1 en la dirección ffff888111f322cd por la tarea swapper/0/0 CPU: 0 UID: 0 PID: 0 Comm: swapper/0 No contaminado 6.12.0-rc4-dirty #7 Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 Rastreo de llamadas: dump_stack_lvl+0x68/0xa0 print_address_description.constprop.0+0x2c/0x3d0 print_report+0xb4/0x270 asm_sysvec_apic_timer_interrupt+0x1a/0x20 DESCARGA: 0010:default_idle+0xf/0x20 Código: 4c 01 c7 4c 29 c2 e9 72 ff ff ff 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 f3 0f 1e fa 66 90 0f 00 2d 33 f8 25 00 fb f4 c3 cc cc cc cc 66 66 2e 0f 1f 84 00 00 00 00 00 90 90 90 90 90 RSP: 0018:ffffffffa2007e28 EFLAGS: 00000242 RAX: 00000000000f3b31 RBX: 1ffffffff4400fc7 RCX: ffffffffa09c3196 RDX: 0000000000000000 RSI: 00000000000000000 RDI: ffffffff9f00590f RBP: 0000000000000000 R08: 00000000000000001 R09: ffffed102360835d R10: ffff88811b041aeb R11: 00000000000000001 R12: 00000000000000000 R13: fffffffa202d7c0 R14: 0000000000000000 R15: 00000000000147d0 llamada_inactiva_predeterminada+0x6b/0xa0 llamada_inactiva_cpuidle+0x1af/0x1f0 inactividad_real+0xbc/0x130 entrada_inicio_cpu+0x33/0x40 inicio_resto+0x11f/0x210 núcleo_inicio+0x39a/0x420 reserva_inicio_x86_64+0x18/0x30 núcleo_inicio_x86_64+0x97/0xa0 inicio_común_64+0x13e/0x141 Asignado por la tarea 595: pila_guardado_kasan+0x24/0x50 seguimiento_guardado_kasan+0x14/0x30 __kasan_slab_alloc+0x87/0x90 kmem_cache_alloc_noprof+0x12b/0x3f0 copy_net_ns+0x94/0x380 create_new_namespaces+0x24c/0x500 unshare_nsproxy_namespaces+0x75/0xf0 ksys_unshare+0x24e/0x4f0 __x64_sys_unshare+0x1f/0x30 do_syscall_64+0x70/0x180 entry_SYSCALL_64_after_hwframe+0x76/0x7e Liberado por la tarea 100: kasan_save_stack+0x24/0x50 kasan_save_track+0x14/0x30 kasan_save_free_info+0x3b/0x60 __kasan_slab_free+0x54/0x70 kmem_cache_free+0x156/0x5d0 cleanup_net+0x5d3/0x670 process_one_work+0x776/0xa90 worker_thread+0x2e2/0x560 kthread+0x1a8/0x1f0 ret_from_fork+0x34/0x60 ret_from_fork_asm+0x1a/0x30 Script de reproducción: mkdir -p /mnt/nfsshare mkdir -p /mnt/nfs/netns_1 mkfs.ext4 /dev/sdb mount /dev/sdb /mnt/nfsshare systemctl restart nfs-server chmod 777 /mnt/nfsshare exportfs -i -o rw,no_root_squash *:/mnt/nfsshare ip netns add netns_1 ip link add name veth_1_peer type veth peer veth_1 ifconfig veth_1_peer 11.11.0.254 up ip link set veth_1 netns netns_1 ip netns exec netns_1 ifconfig veth_1 11.11.0.1 ip netns exec netns_1 /root/iptables -A OUTPUT -d 11.11.0.254 -p tcp \ --tcp-flags FIN FIN -j DROP (nota: En mi entorno, una operación DESTROY_CLIENTID siempre se envía inmediatamente, interrumpiendo la conexión tcp de nfs). ip netns exec netns_1 timeout -s 9 300 mount -t nfs -o proto=tcp,vers=4.1 \ 11.11.0.254:/mnt/nfsshare /mnt/nfs/netns_1 ip netns del netns_1 La razón aquí es que el socket tcp en netns_1 (lado nfs) se ha apagado y cerrado (hecho en xs_destroy), pero el mensaje FIN (con ack) se descarta y el lado nfsd sigue enviando mensajes de retransmisión. Como resultado, cuando el sock tcp en netns_1 procesa el mensaje recibido, envía el mensaje (mensaje FIN) en la cola de envío y se restablece el temporizador tcp. Cuando se elimina el espacio de nombres de red, la estructura de red a la que accede la función del controlador del temporizador de tcp causa problemas. Para solucionar este problema, mantengamos netns refcnt para el socket de kernel tcp como se hizo en otros módulos. Este es un truco feo que se puede adaptar fácilmente a kernels anteriores. Seguiremos con una solución adecuada que limpie las interfaces, pero puede que no sea tan fácil adaptarla.