Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> apparmor: corrección de que un usuario local sin privilegios puede realizar gestión de políticas privilegiada<br /> <br /> Un usuario local sin privilegios puede cargar, reemplazar y eliminar perfiles abriendo las interfaces de apparmorfs, a través de un ataque de adjunto confundido, pasando el descriptor de archivo (fd) abierto a un proceso privilegiado y haciendo que el proceso privilegiado escriba en la interfaz.<br /> <br /> Esto requiere un objetivo privilegiado que pueda ser manipulado para realizar la escritura en nombre del proceso sin privilegios, pero una vez que se logra dicho acceso, es posible una gestión completa de políticas y todas las posibles implicaciones que esto conlleva: eliminación del confinamiento, DoS del sistema o de las aplicaciones objetivo denegando toda ejecución, eludiendo la restricción del espacio de nombres de usuario sin privilegios, hasta la explotación de errores del kernel para una escalada de privilegios local.<br /> <br /> La interfaz de gestión de políticas no puede tener sus permisos simplemente cambiados de 0666 a 0600 porque los procesos que no son root necesitan poder cargar políticas en diferentes espacios de nombres de políticas.<br /> <br /> En su lugar, asegúrese de que la tarea que escribe en la interfaz tenga privilegios que sean un subconjunto de la tarea que abrió la interfaz. Esto ya se hace a través de políticas para procesos confinados, pero los no confinados pueden delegar acceso al descriptor de archivo (fd) abierto, eludiendo la verificación de política habitual.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> apparmor: validar que los estados iniciales de DFA están dentro de los límites en unpack_pdb<br /> <br /> Los estados iniciales se leen de datos no confiables y se usan como índices en las tablas de estados de DFA. La llamada a la función aa_dfa_next() en unpack_pdb() accederá a dfa-&amp;gt;tables[YYTD_ID_BASE][start], y si el estado inicial excede el número de estados en el DFA, esto resulta en una lectura fuera de límites.<br /> <br /> ==================================================================<br /> ERROR: KASAN: slab-out-of-bounds en aa_dfa_next+0x2a1/0x360<br /> Lectura de tamaño 4 en la dirección ffff88811956fb90 por la tarea su/1097<br /> ...<br /> <br /> Rechazar políticas con estados iniciales fuera de límites durante el desempaquetado para prevenir el problema.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: liquidio: Inicializar el puntero netdev antes de la configuración de la cola<br /> <br /> En setup_nic_devices(), el netdev se asigna usando alloc_etherdev_mq(). Sin embargo, el puntero a esta estructura se almacena en oct-&amp;gt;props[i].netdev solo después de las llamadas a netif_set_real_num_rx_queues() y netif_set_real_num_tx_queues().<br /> <br /> Si alguna de estas funciones falla, setup_nic_devices() devuelve un error sin liberar el netdev asignado. Dado que oct-&amp;gt;props[i].netdev sigue siendo NULL en este punto, la función de limpieza liquidio_destroy_nic_device() no logrará encontrar y liberar el netdev, lo que resultará en una fuga de memoria.<br /> <br /> Corrija esto inicializando oct-&amp;gt;props[i].netdev antes de llamar a las funciones de configuración de cola. Esto asegura que el netdev sea correctamente accesible para la limpieza en caso de errores.<br /> <br /> Probado solo en compilación. Problema encontrado usando una herramienta prototipo de análisis estático y revisión de código.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> io_uring/rw: liberar iovec potencialmente asignado en caso de fallo al colocar en la caché<br /> <br /> Si una solicitud de lectura/escritura pasa por io_req_rw_cleanup() y tiene un iovec asignado adjunto y falla al colocarlo en la rw_cache, entonces puede terminar con un puntero iovec no contabilizado. Hacer que io_rw_recycle() devuelva si recicló la solicitud o no, y usar eso para determinar si liberar un iovec potencial o no.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> regmap: maple: liberar entrada en caso de fallo de mas_store_gfp()<br /> <br /> regcache_maple_write() asigna un nuevo bloque (&amp;#39;entrada&amp;#39;) para fusionar rangos adyacentes y luego lo almacena con mas_store_gfp().<br /> Cuando mas_store_gfp() falla, la nueva &amp;#39;entrada&amp;#39; permanece asignada y nunca es liberada, provocando una fuga de memoria.<br /> <br /> Liberar &amp;#39;entrada&amp;#39; en la ruta de fallo; en caso de éxito, continuar liberando los bloques vecinos reemplazados (&amp;#39;inferior&amp;#39;, &amp;#39;superior&amp;#39;).

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> nvme-fc: liberar el conjunto de etiquetas de administración si la inicialización falla<br /> <br /> nvme_fabrics crea un controlador NVMe/FC en la siguiente ruta:<br /> <br /> nvmf_dev_write()<br /> -&amp;gt; nvmf_create_ctrl()<br /> -&amp;gt; nvme_fc_create_ctrl()<br /> -&amp;gt; nvme_fc_init_ctrl()<br /> <br /> nvme_fc_init_ctrl() asigna los recursos blk-mq de administración justo después de que nvme_add_ctrl() tenga éxito. Si alguno de los pasos subsiguientes falla (cambiar el estado del controlador, programar el trabajo de conexión, etc.), saltamos a la ruta fail_ctrl, que desmantela las referencias del controlador pero nunca libera la cola/conjunto de etiquetas de administración. Las asignaciones blk-mq filtradas coinciden con el informe kmemleak visto durante blktests nvme/fc.<br /> <br /> Verificar ctrl-&amp;gt;ctrl.admin_tagset en la ruta fail_ctrl y llamar a nvme_remove_admin_tag_set() cuando esté establecido para que todas las asignaciones de la cola de administración sean recuperadas cada vez que la configuración del controlador se aborte.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> gve: Corrección de la corrupción del informe de estadísticas al cambiar el recuento de colas<br /> <br /> El controlador y la NIC comparten una región en memoria para el informe de estadísticas.<br /> La NIC calcula su desplazamiento en esta región basándose en el tamaño total<br /> de la región de estadísticas y el tamaño de las estadísticas de la NIC.<br /> <br /> Cuando se cambia el número de colas, la región de estadísticas del controlador se<br /> redimensiona. Si el recuento de colas se incrementa, la NIC puede escribir más allá<br /> del final de la región de estadísticas asignada, causando corrupción de memoria.<br /> Si el recuento de colas se disminuye, hay una brecha entre las estadísticas del controlador<br /> y de la NIC, lo que lleva a un informe de estadísticas incorrecto.<br /> <br /> Este cambio soluciona el problema asignando la región de estadísticas con el tamaño<br /> máximo, y el cálculo del desplazamiento para las estadísticas de la NIC se cambia para que<br /> coincida con el cálculo de la NIC.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> io_uring/zcrx: corregir fuga de array de páginas<br /> <br /> d9f595b9a65e (&amp;#39;io_uring/zcrx: corregir la fuga de páginas al fallar la inicialización de sg&amp;#39;) corrigió una fuga de páginas pero no liberó el array de páginas, libéralo también.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> xfs: solo llamar a xf{array,blob}_destroy si tenemos un puntero válido<br /> <br /> Solo llamar al destructor xfarray y xfblob si tenemos un puntero válido, y asegurarse de anular ese puntero después. Tenga en cuenta que este parche soluciona un gran número de commits, la mayoría de los cuales fueron fusionados entre 6.9 y 6.10.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: gro: corregir desplazamiento de red externo<br /> <br /> La etapa de completado de GRO de UDP asume que todos los paquetes insertados en el RX tienen el indicador &amp;#39;encapsulation&amp;#39; puesto a cero. Dicha suposición no es cierta, ya que algunas NIC de H/W pueden establecer dicho indicador al descargar el checksum por H/W para un tráfico UDP encapsulado, el controlador tun puede inyectar paquetes GSO con encapsulación UDP y la disposición problemática también puede crearse a través de una configuración basada en veth.<br /> <br /> Debido a lo anterior, en los escenarios problemáticos, udp4_gro_complete() utiliza el desplazamiento de red incorrecto (interno en lugar de externo) para calcular el pseudo checksum del encabezado UDP externo, lo que lleva a errores de validación de csum más adelante en el procesamiento de paquetes.<br /> <br /> Abordar el problema siempre borrando el indicador de encapsulación en el momento de completado de GRO. Dicho indicador se establecerá de nuevo según sea necesario para paquetes encapsulados por udp_gro_complete().

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: liquidio: Corrección de error de uno en la limpieza de VF setup_nic_devices()<br /> <br /> En setup_nic_devices(), el bucle de inicialización salta a la etiqueta setup_nic_dev_free en caso de fallo. El bucle de limpieza actual while(i--) omite el índice i que falla, causando una fuga de memoria.<br /> <br /> Esto se corrige cambiando el bucle para que itere desde el índice actual i hasta 0.<br /> <br /> Solo probado en compilación. Problema encontrado mediante revisión de código.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: liquidio: Corrección de error &amp;#39;off-by-one&amp;#39; en la limpieza de PF setup_nic_devices()<br /> <br /> En setup_nic_devices(), el bucle de inicialización salta a la etiqueta setup_nic_dev_free en caso de fallo. El bucle de limpieza actual while(i--) omite el índice &amp;#39;i&amp;#39; fallido, causando una fuga de memoria.<br /> <br /> Esto se corrige cambiando el bucle para que itere desde el índice actual &amp;#39;i&amp;#39; hasta 0.<br /> <br /> Además, se decrementa &amp;#39;i&amp;#39; en la ruta de fallo de devlink_alloc para que apunte al último índice asignado con éxito.<br /> <br /> Probado solo en compilación. Problema encontrado mediante revisión de código.