Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: rose: bloquear el socket en rose_bind() syzbot informó un bloqueo suave en rose_loopback_timer(), con una reproducción que llama a bind() desde múltiples subprocesos. rose_bind() debe bloquear el socket para evitar este problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: brcmfmac: comprobar el valor de retorno de of_property_read_string_index() En algún momento entre 6.10 y 6.11, el controlador comenzó a fallar en mi MacBookPro14,3. La propiedad no existe y 'tmp' permanece sin inicializar, por lo que pasamos un puntero aleatorio a devm_kstrdup(). El fallo que estoy teniendo se parece a esto: ERROR: no se puede manejar el error de página para la dirección: 00007f033c669379 PF: acceso de lectura del supervisor en modo kernel PF: error_code(0x0001) - violación de permisos PGD 8000000101341067 P4D 8000000101341067 PUD 101340067 PMD 1013bb067 PTE 800000010aee9025 Oops: Oops: 0001 [#1] SMP PTI CPU: 4 UID: 0 PID: 827 Comm: (udev-worker) No contaminado 6.11.8-gentoo #1 Nombre del hardware: Apple Inc. MacBookPro14,3/Mac-551B86E5744E2388, BIOS 529.140.2.0.0 23/06/2024 RIP: 0010:strlen+0x4/0x30 Código: f7 75 ec 31 c0 c3 cc cc cc cc 48 89 f8 c3 cc cc cc cc 0f 1f 40 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 f3 0f 1e fa <80> 3f 00 74 14 48 89 f8 48 83 c0 01 80 38 00 75 f7 48 29 f8 c3 cc RSP: 0018:ffffb4aac0683ad8 EFLAGS: 00010202 RAX: 00000000ffffffea RBX: 00007f033c669379 RCX: 0000000000000001 RDX: 0000000000000cc0 RSI: 00007f033c669379 RDI: 00007f033c669379 RBP: 00000000ffffffea R08: 0000000000000000 R09: 00000000c0ba916a R10: ffffffffffffffff R11: ffffffffb61ea260 R12: ffff91f7815b50c8 R13: 0000000000000cc0 R14: ffff91fafefffe30 R15: ffffb4aac0683b30 FS: 00007f033ccbe8c0(0000) GS:ffff91faeed00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f033c669379 CR3: 0000000107b1e004 CR4: 00000000003706f0 DR0: 0000000000000000 DR1: 00000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: ? __die+0x23/0x70 ? page_fault_oops+0x149/0x4c0 ? raw_spin_rq_lock_nested+0xe/0x20 ? sched_balance_newidle+0x22b/0x3c0 ? update_load_avg+0x78/0x770 ? exc_page_fault+0x6f/0x150 ? asm_exc_page_fault+0x26/0x30 ? __pfx_pci_conf1_write+0x10/0x10 ? strlen+0x4/0x30 devm_kstrdup+0x25/0x70 brcmf_of_probe+0x273/0x350 [brcmfmac]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: corregir use-after-free al intentar unirse a una transacción abortada Cuando intentamos unirnos a la transacción actual y si se aborta, leemos su campo 'abortado' después de desbloquear fs_info->trans_lock y sin mantener ningún recuento de referencia adicional en él. Esto significa que una tarea concurrente que está abortando la transacción puede liberar la transacción antes de que leamos su campo 'abortado', lo que lleva a un use-after-free. Arregle esto leyendo el campo 'abortado' mientras mantiene fs_info->trans_lock ya que cualquier tarea de liberación primero debe adquirir ese bloqueo y establecer fs_info->running_transaction en NULL antes de liberar la transacción. Esto fue informado por syzbot y Dmitry con los siguientes seguimientos de pila de KASAN: ===================================================================== ERROR: KASAN: slab-use-after-free in join_transaction+0xd9b/0xda0 fs/btrfs/transaction.c:278 Read of size 4 at addr ffff888011839024 by task kworker/u4:9/1128 CPU: 0 UID: 0 PID: 1128 Comm: kworker/u4:9 Not tainted 6.13.0-rc7-syzkaller-00019-gc45323b7560e #0 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 Workqueue: events_unbound btrfs_async_reclaim_data_space Call Trace: __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:120 print_address_description mm/kasan/report.c:378 [inline] print_report+0x169/0x550 mm/kasan/report.c:489 kasan_report+0x143/0x180 mm/kasan/report.c:602 join_transaction+0xd9b/0xda0 fs/btrfs/transaction.c:278 start_transaction+0xaf8/0x1670 fs/btrfs/transaction.c:697 flush_space+0x448/0xcf0 fs/btrfs/space-info.c:803 btrfs_async_reclaim_data_space+0x159/0x510 fs/btrfs/space-info.c:1321 process_one_work kernel/workqueue.c:3236 [inline] process_scheduled_works+0xa66/0x1840 kernel/workqueue.c:3317 worker_thread+0x870/0xd30 kernel/workqueue.c:3398 kthread+0x2f0/0x390 kernel/kthread.c:389 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 Allocated by task 5315: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x3f/0x80 mm/kasan/common.c:68 poison_kmalloc_redzone mm/kasan/common.c:377 [inline] __kasan_kmalloc+0x98/0xb0 mm/kasan/common.c:394 kasan_kmalloc include/linux/kasan.h:260 [inline] __kmalloc_cache_noprof+0x243/0x390 mm/slub.c:4329 kmalloc_noprof include/linux/slab.h:901 [inline] join_transaction+0x144/0xda0 fs/btrfs/transaction.c:308 start_transaction+0xaf8/0x1670 fs/btrfs/transaction.c:697 btrfs_create_common+0x1b2/0x2e0 fs/btrfs/inode.c:6572 lookup_open fs/namei.c:3649 [inline] open_last_lookups fs/namei.c:3748 [inline] path_openat+0x1c03/0x3590 fs/namei.c:3984 do_filp_open+0x27f/0x4e0 fs/namei.c:4014 do_sys_openat2+0x13e/0x1d0 fs/open.c:1402 do_sys_open fs/open.c:1417 [inline] __do_sys_creat fs/open.c:1495 [inline] __se_sys_creat fs/open.c:1489 [inline] __x64_sys_creat+0x123/0x170 fs/open.c:1489 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Freed by task 5336: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x3f/0x80 mm/kasan/common.c:68 kasan_save_free_info+0x40/0x50 mm/kasan/generic.c:582 poison_slab_object mm/kasan/common.c:247 [inline] __kasan_slab_free+0x59/0x70 mm/kasan/common.c:264 kasan_slab_free include/linux/kasan.h:233 [inline] slab_free_hook mm/slub.c:2353 [inline] slab_free mm/slub.c:4613 [inline] kfree+0x196/0x430 mm/slub.c:4761 cleanup_transaction fs/btrfs/transaction.c:2063 [inline] btrfs_commit_transaction+0x2c97/0x3720 fs/btrfs/transaction.c:2598 insert_balance_item+0x1284/0x20b0 fs/btrfs/volumes.c:3757 btrfs_balance+0x992/ ---truncated---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Entrada: synaptics - arregla el fallo al habilitar el puerto de paso Al habilitar un puerto de paso, puede aparecer una interrupción antes de que el controlador psmouse se vincule al puerto de paso. Sin embargo, el subcontrolador synaptics intenta acceder a la instancia psmouse presuntamente asociada con el puerto de paso para averiguar si solo se necesita reenviar 1 byte de respuesta o el paquete de protocolo completo al puerto de paso y puede bloquearse si la instancia psmouse aún no se ha adjuntado al puerto. Arregla el bloqueo introduciendo los métodos open() y close() para el puerto y comprueba si el puerto está abierto antes de intentar acceder a la instancia psmouse. Debido a que psmouse llama a serio_open() solo después de adjuntar la instancia psmouse a la instancia del puerto serio, esto evita el posible bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ceph: se corrige una pérdida de memoria en ceph_mds_auth_match() Ahora liberamos la asignación de subcadena de la ruta de destino temporal en cada rama posible, en lugar de omitir la rama predeterminada. En algunos casos, se produjo una pérdida de memoria que podía bloquear rápidamente el sistema (según la cantidad de accesos a archivos que se intentaran). Esto se detectó en producción porque provocó un crecimiento continuo de la memoria, lo que finalmente provocó un OOM del kernel y lo bloqueó por completo. Rastreo de pila de kmemleak relevante: objeto sin referencia 0xffff888131e69900 (tamaño 128): comm "git", pid 66104, jiffies 4295435999 volcado hexadecimal (primeros 32 bytes): 76 6f 6c 75 6d 65 73 2f 63 6f 6e 74 61 69 6e 65 volúmenes/contenedores 72 73 2f 67 69 74 65 61 2f 67 69 74 65 61 2f 67 rs/gitea/gitea/g backtrace (crc 2f3bb450): [] __kmalloc_noprof+0x359/0x510 [] ceph_mds_check_access+0x5bf/0x14e0 [ceph] [] ceph_open+0x312/0xd80 [ceph] [] do_dentry_open+0x456/0x1120 [] vfs_open+0x79/0x360 [] path_openat+0x1de5/0x4390 [] do_filp_open+0x19c/0x3c0 [] do_sys_openat2+0x141/0x180 [] __x64_sys_open+0xe5/0x1a0 [] do_syscall_64+0xb7/0x210 [] entry_SYSCALL_64_after_hwframe+0x77/0x7f Se puede activar montando un subdirectorio de un sistema de archivos CephFS y luego intentando acceder a los archivos en este subdirectorio con un token de autenticación usando una capacidad con alcance de ruta: $ ceph auth get client.services [client.services] key = REDACTED caps mds = "allow rw fsname=cephfs path=/volumes/" caps mon = "allow r fsname=cephfs" caps osd = "allow rw tag cephfs data=cephfs" $ cat /proc/self/mounts services@[REDACTADO].cephfs=/volumes/containers /ceph/containers ceph rw,noatime,name=services,secret=,ms_mode=prefer-crc,mount_timeout=300,acl,mon_addr=[REDACTADO]:3300,recover_session=clean 0 0 $ seq 1 1000000 | xargs -P32 --replace={} touch /ceph/containers/file-{} && \ seq 1 1000000 | xargs -P32 --replace={} cat /ceph/containers/file-{} [ idryomov: combinar instrucciones if, cambiar el nombre de rc a path_matched y convertirlo en un bool, formatear ]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: x86/mmu: Asegúrese de que el subproceso de recuperación de páginas enormes de NX esté activo antes de reactivarlo. Al reactivar el subproceso de recuperación de páginas enormes de NX de una máquina virtual, asegúrese de que el subproceso esté realmente activo antes de intentar reactivarlo. Ahora que el subproceso se genera a pedido durante KVM_RUN, se puede acceder a una máquina virtual sin un subproceso de recuperación a través de los parámetros del módulo relacionado. ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000040 #PF: acceso de lectura del supervisor en modo kernel #PF: error_code(0x0000) - página no presente Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 0.0.0 02/06/2015 RIP: 0010:vhost_task_wake+0x5/0x10 Rastreo de llamadas: set_nx_huge_pages+0xcc/0x1e0 [kvm] param_attr_store+0x8a/0xd0 module_attr_store+0x1a/0x30 kernfs_fop_write_iter+0x12f/0x1e0 vfs_write+0x233/0x3e0 ksys_write+0x60/0xd0 do_syscall_64+0x5b/0x160 entry_SYSCALL_64_after_hwframe+0x4b/0x53 RIP: 0033:0x7f3b52710104 Módulos vinculados en: kvm_intel kvm CR2: 000000000000040

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: ipheth: fix DPE OoB read Corrige una lectura de DPE fuera de los límites, limita la cantidad de DPE procesados a la cantidad que cabe en el encabezado NDP16 de tamaño fijo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: ipheth: usar ubicación estática de NDP16 en URB El código original permitía que el inicio de NDP16 estuviera en cualquier lugar dentro de URB según el valor `wNdpIndex` en NTH16. Solo se comprobó la posición de inicio de NDP16, por lo que era posible que incluso la parte de longitud fija de NDP16 se extendiera más allá del final de URB, lo que generaba una lectura fuera de los límites. En los dispositivos iOS, el encabezado NDP16 siempre sigue directamente a NTH16. Confíe en este formato específico y compruébelo. Esto, junto con la comprobación de longitud mínima de URB específica de NCM que ya existe, garantizará que la parte de longitud fija de NDP16 más una cantidad establecida de DPE quepan dentro de URB. Tenga en cuenta que esta confirmación por sí sola no aborda por completo la lectura OoB. El límite en la cantidad de DPE debe aplicarse por separado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: ipheth: corrige posible desbordamiento en la comprobación de longitud de DPE Originalmente, era posible que la comprobación de longitud de DPE se desbordara si wDatagramIndex + wDatagramLength > U16_MAX. Esto podría provocar una lectura OoB. Mueva el término wDatagramIndex al otro lado de la desigualdad. Una condición existente asegura que wDatagramIndex < urb->actual_length.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: Se corrige el tamaño de página del búfer de copia Para un búfer no registrado, el controlador fastrpc copia el búfer y lo pasa al subsistema remoto. Hay un problema con la implementación actual del cálculo del tamaño de página que no considera el desplazamiento en el cálculo. Esto podría provocar que se pase un tamaño de página incorrecto y fuera de los límites, lo que podría generar un problema de memoria. Calcule el inicio y el final de la página utilizando la dirección ajustada por desplazamiento en lugar de la dirección absoluta.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: NFC: nci: Añadir comprobación de los límites en nci_hci_create_pipe() La variable "pipe" es un u8 que proviene de la red. Si es mayor que 127, entonces da como resultado una corrupción de memoria en el llamador, nci_hci_connect_gate().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nilfs2: se corrigen posibles desbordamientos de int en nilfs_fiemap() Dado que nilfs_bmap_lookup_contig() en nilfs_fiemap() calcula su resultado al estar preparado para pasar por bloques potencialmente maxblocks == INT_MAX, el valor en n puede experimentar un desbordamiento causado por el desplazamiento a la izquierda de blkbits. Si bien es extremadamente improbable que ocurra, no corra riesgos y convierta la expresión de la mano derecha a un tipo más amplio para mitigar el problema. Encontrado por Linux Verification Center (linuxtesting.org) con la herramienta de análisis estático SVACE.