Vulnerabilidades

2N Access Commander versión 3.4.2 y anteriores invalida incorrectamente los tokens de sesión, permitiendo que múltiples cookies de sesión permanezcan activas después del cierre de sesión en la aplicación web.

La aplicación 2N Access Commander versión 3.4.2 y anteriores devuelve respuestas de error interno del servidor HTTP 500 al recibir solicitudes malformadas o manipuladas, lo que indica un manejo inadecuado de entrada inválida y posibles impactos en la seguridad o disponibilidad.

Una vulnerabilidad ha sido identificada dentro del Rancher Backup Operator, resultando en la fuga de tokens S3 (tanto accessKey como secretKey) en los logs del pod rancher-backup-operator.

El endpoint de la API para la sincronización de usuarios en 2N Access Commander versión 3.4.1 no tenía una validación de entrada suficiente, lo que permitía la inyección de comandos del sistema operativo. Esta vulnerabilidad solo puede ser explotada después de autenticarse con privilegios de administrador.

Una vulnerabilidad fue descubierta recientemente en el demonio rpc.mountd del paquete nfs-utils para Linux, que permite a un cliente NFSv3 escalar los privilegios asignados a él en el archivo /etc/exports en el momento del montaje. En particular, permite al cliente acceder a cualquier subdirectorio o subárbol de un directorio exportado, independientemente de los permisos de archivo establecidos, e independientemente de cualquier atributo 'root_squash' o 'all_squash' que normalmente se esperaría que se aplicaran a ese cliente.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> fbdev: smscufx: copiar correctamente la memoria ioctl al espacio del kernel<br /> <br /> El ioctl UFX_IOCTL_REPORT_DAMAGE no copia correctamente los datos desde el espacio de usuario al espacio del kernel, y en su lugar referencia directamente la memoria, lo que puede causar problemas si se pasan datos inválidos desde el espacio de usuario. Soluciona todo esto copiando correctamente la memoria antes de acceder a ella dentro del kernel.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> platform/x86: classmate-laptop: Añadir comprobaciones de puntero NULL faltantes<br /> <br /> En algunos lugares del controlador del portátil Classmate, el código que utiliza el objeto accel puede ejecutarse antes de que la dirección de ese objeto se almacene en los datos del controlador del dispositivo de entrada que lo utiliza.<br /> <br /> Por ejemplo, cmpc_accel_sensitivity_store_v4() es el método &amp;#39;show&amp;#39; de cmpc_accel_sensitivity_attr_v4 que se añade en cmpc_accel_add_v4(), antes de llamar a dev_set_drvdata() para inputdev-&amp;gt;dev. Si el atributo sysfs se accede prematuramente, la llamada a dev_get_drvdata(&amp;amp;inputdev-&amp;gt;dev) en cmpc_accel_sensitivity_store_v4() devuelve NULL, lo que lleva a una desreferencia de puntero NULL en adelante.<br /> <br /> Además, los atributos sysfs que utilizan el dispositivo de entrada se añaden antes de inicializar ese dispositivo por cmpc_add_acpi_notify_device() y si se accede a uno de ellos antes de ejecutar esa función, ocurrirá una desreferencia de puntero NULL.<br /> <br /> Por ejemplo, cmpc_accel_sensitivity_attr_v4 se añade antes de llamar a cmpc_add_acpi_notify_device() y si se lee prematuramente, la llamada a dev_get_drvdata(&amp;amp;acpi-&amp;gt;dev) en cmpc_accel_sensitivity_show_v4() devuelve NULL, lo que lleva a una desreferencia de puntero NULL en adelante.<br /> <br /> Solucionar esto añadiendo comprobaciones de puntero NULL en todos los lugares relevantes.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> romfs: verificar el valor de retorno de sb_set_blocksize()<br /> <br /> romfs_fill_super() ignora el valor de retorno de sb_set_blocksize(), lo cual puede fallar si el tamaño de bloque solicitado es incompatible con la configuración del dispositivo de bloques.<br /> <br /> Esto puede ser activado al establecer el tamaño de bloque de un dispositivo de bucle mayor que PAGE_SIZE usando ioctl(LOOP_SET_BLOCK_SIZE, 32768), y luego montando un sistema de archivos romfs en ese dispositivo.<br /> <br /> Cuando se llama a sb_set_blocksize(sb, ROMBSIZE) con ROMBSIZE=4096 pero el dispositivo tiene logical_block_size=32768, bdev_validate_blocksize() falla porque el tamaño solicitado es menor que el tamaño de bloque lógico del dispositivo. sb_set_blocksize() devuelve 0 (falla), pero romfs ignora esto y continúa el montaje.<br /> <br /> El tamaño de bloque del superbloque permanece en el tamaño de bloque lógico del dispositivo (32768). Más tarde, cuando sb_bread() intenta E/S con este tamaño de bloque sobredimensionado, activa un BUG del kernel en folio_set_bh():<br /> <br /> BUG del kernel en fs/buffer.c:1582!<br /> BUG_ON(size &amp;gt; PAGE_SIZE);<br /> <br /> Solución al verificar el valor de retorno de sb_set_blocksize() y fallar el montaje con -EINVAL si devuelve 0.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Revertir «f2fs: bloqueo de caché/escritura dio durante f2fs_enable_checkpoint()». Esto revierte la confirmación 196c81fdd438f7ac429d5639090a9816abb9760a. El parche original puede causar el siguiente bloqueo, reviertelo. write remount - write_begin - lock_page --- lock A - prepare_write_begin - f2fs_map_lock - f2fs_enable_checkpoint - down_write (cp_enable_rwsem) --- bloqueo B - sync_inode_sb - writepages - lock_page --- bloqueo A - down_read(cp_enable_rwsem) --- bloqueo A

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> f2fs: corrección para evitar mapear un bloque físico incorrecto para el archivo de intercambio<br /> <br /> Xiaolong Guo informó de un error de f2fs en bugzilla [1]<br /> <br /> [1] HTTPS://bugzilla.kernel.org/show_bug.cgi?id=220951<br /> <br /> Citado:<br /> <br /> Cuando se utiliza la prueba de estrés de intercambio de stress-ng en el sistema de archivos F2FS con kernel 6.6+, el sistema experimenta corrupción de datos que lleva a una de las siguientes situaciones:<br /> 1 errores de corrupción de dm-verity y reinicio del dispositivo<br /> 2 errores de corrupción de nodo F2FS y cuelgues de arranque<br /> <br /> El problema ocurre específicamente cuando:<br /> 1 Se utiliza el sistema de archivos F2FS (ext4 no se ve afectado)<br /> 2 El tamaño del archivo de intercambio es menor que el tamaño de sección de F2FS (2MB)<br /> 3 El archivo de intercambio tiene un diseño físico fragmentado (múltiples extensiones no contiguas)<br /> 4 La versión del kernel es 6.6+ (6.1 no se ve afectada)<br /> <br /> La causa raíz está en la función check_swap_activate() en fs/f2fs/data.c. Cuando la primera extensión de un archivo de intercambio pequeño (&amp;lt; 2MB) no está alineada con los límites de sección, la función lo trata incorrectamente como la última extensión, fallando en mapear extensiones subsiguientes. Esto resulta en una creación incorrecta de swap_extent donde solo la primera extensión es mapeada, causando que las escrituras de intercambio subsiguientes sobrescriban ubicaciones físicas incorrectas (datos de otros archivos).<br /> <br /> Pasos para Reproducir<br /> 1 Configurar un dispositivo con una partición de datos de usuario formateada en F2FS<br /> 2 Compilar stress-ng desde HTTPS://github.com/ColinIanKing/stress-ng<br /> 3 Ejecutar la prueba de estrés de intercambio: (dispositivos Android)<br /> adb shell &amp;#39;cd /data/stressng; ./stress-ng-64 --metrics-brief --timeout 60 --swap 0&amp;#39;<br /> <br /> Registro:<br /> 1 Ftrace muestra que en el kernel 6.6, solo la primera extensión se mapea durante la segunda llamada a f2fs_map_blocks en check_swap_activate():<br /> stress-ng-swap-8990: f2fs_map_blocks: ino=11002, file offset=0, start blkaddr=0x43143, len=0x1<br /> (Solo 4KB mapeados, no el archivo de intercambio completo)<br /> 2 en el kernel 6.1, ambas extensiones se mapean correctamente:<br /> stress-ng-swap-5966: f2fs_map_blocks: ino=28011, file offset=0, start blkaddr=0x13cd4, len=0x1<br /> stress-ng-swap-5966: f2fs_map_blocks: ino=28011, file offset=1, start blkaddr=0x60c84b, len=0xff<br /> <br /> El código problemático está en check_swap_activate():<br /> if ((pblock - SM_I(sbi)-&amp;gt;main_blkaddr) % blks_per_sec ||<br /> nr_pblocks % blks_per_sec ||<br /> !f2fs_valid_pinned_area(sbi, pblock)) {<br /> bool last_extent = false;<br /> <br /> not_aligned++;<br /> <br /> nr_pblocks = roundup(nr_pblocks, blks_per_sec);<br /> if (cur_lblock + nr_pblocks &amp;gt; sis-&amp;gt;max)<br /> nr_pblocks -= blks_per_sec;<br /> <br /> /* esta extensión es la última */<br /> if (!nr_pblocks) {<br /> nr_pblocks = last_lblock - cur_lblock;<br /> last_extent = true;<br /> }<br /> <br /> ret = f2fs_migrate_blocks(inode, cur_lblock, nr_pblocks);<br /> if (ret) {<br /> if (ret == -ENOENT)<br /> ret = -EINVAL;<br /> goto out;<br /> }<br /> <br /> if (!last_extent)<br /> goto retry;<br /> }<br /> <br /> Cuando la primera extensión no está alineada y roundup(nr_pblocks, blks_per_sec) excede sis-&amp;gt;max, restamos blks_per_sec resultando en nr_pblocks = 0. El código asume incorrectamente que esta es la última extensión, establece nr_pblocks = last_lblock - cur_lblock (archivo de intercambio completo), y realiza la migración. Después de la migración, no reintenta el mapeo, por lo que las extensiones subsiguientes nunca se procesan.<br /> <br /> Para solucionar este problema, necesitamos buscar la información de mapeo de bloques después de migrar todos los bloques en la cola del archivo de intercambio.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> f2fs: corrección para evitar UAF en f2fs_write_end_io()<br /> <br /> Como syzbot informó un problema de uso después de liberación en f2fs_write_end_io().<br /> <br /> Es causado por la siguiente condición de carrera:<br /> <br /> loop device umount<br /> - worker_thread<br /> - loop_process_work<br /> - do_req_filebacked<br /> - lo_rw_aio<br /> - lo_rw_aio_complete<br /> - blk_mq_end_request<br /> - blk_update_request<br /> - f2fs_write_end_io<br /> - dec_page_count<br /> - folio_end_writeback<br /> - kill_f2fs_super<br /> - kill_block_super<br /> - f2fs_put_super<br /> : free(sbi)<br /> : get_pages(, F2FS_WB_CP_DATA)<br /> accedió a sbi que está liberado<br /> <br /> En kill_f2fs_super(), descartaremos todas las cachés de página de los inodos f2fs antes de llamar a free(sbi), esto garantiza que todos los folios deberían finalizar su writeback, por lo tanto, debería ser seguro acceder a sbi antes del último folio_end_writeback().<br /> <br /> Reubicaremos el flujo de activación del hilo ckpt antes de folio_end_writeback() para resolver este problema.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> f2fs: corrige el acceso fuera de límites en la lectura/escritura de atributos sysfs<br /> <br /> Algunos atributos sysfs de f2fs sufren de acceso a memoria fuera de límites y manejo incorrecto de valores enteros cuyo tamaño no es de 4 bytes.<br /> <br /> Por ejemplo:<br /> vm:~# echo 65537 &amp;gt; /sys/fs/f2fs/vde/carve_out<br /> vm:~# cat /sys/fs/f2fs/vde/carve_out<br /> 65537<br /> vm:~# echo 4294967297 &amp;gt; /sys/fs/f2fs/vde/atgc_age_threshold<br /> vm:~# cat /sys/fs/f2fs/vde/atgc_age_threshold<br /> 1<br /> <br /> carve_out se mapea a {struct f2fs_sb_info}-&amp;gt;carve_out, que es un entero de 8 bits. Sin embargo, la interfaz sysfs permite establecerlo a un valor mayor que 255, lo que resulta en una actualización fuera de rango.<br /> <br /> atgc_age_threshold se mapea a {struct atgc_management}-&amp;gt;age_threshold, que es un entero de 64 bits, pero su interfaz sysfs no puede establecer correctamente valores mayores que UINT_MAX.<br /> <br /> Las causas raíz son:<br /> 1. __sbi_store() trata todos los valores predeterminados como unsigned int, lo que impide actualizar enteros mayores de 4 bytes y causa escrituras fuera de límites para enteros menores de 4 bytes.<br /> <br /> 2. f2fs_sbi_show() también asume que todos los valores predeterminados son unsigned int, lo que lleva a lecturas fuera de límites y acceso incorrecto a enteros mayores de 4 bytes.<br /> <br /> Este parche introduce {struct f2fs_attr}-&amp;gt;size para registrar el tamaño real del entero asociado con cada atributo sysfs. Con esta información, las operaciones de lectura y escritura de sysfs pueden acceder y actualizar valores correctamente según su tamaño de datos real, evitando la corrupción de memoria y la truncación.