Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfp: bpf: Agregar verificación para nfp_app_ctrl_msg_alloc() Agregar verificación para el valor de retorno de nfp_app_ctrl_msg_alloc() en nfp_bpf_cmsg_alloc() para evitar la desreferencia del puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Corrección de interbloqueo al liberar almacenamiento de cgroup. El siguiente commit bc235cdb423a ("bpf: Prevenir interbloqueo desde bpf_task_storage_[get|delete] recursivo") introdujo por primera vez la prevención de interbloqueo para programas fentry/fexit que se conectaban a los ayudantes bpf_task_storage. Este commit también empleó la lógica de map free path en su versión v6. Más tarde, bpf_cgrp_storage se introdujo por primera vez en c4bcfb38a95e ("bpf: Implementar almacenamiento cgroup disponible para programas bpf no adjuntos a cgroup") que enfrenta el mismo problema que bpf_task_storage, en lugar de su contador de ocupación, se pasó NULL a bpf_local_storage_map_free() que abrió una ventana para causar un bloqueo: (acquiring local_storage->lock) _raw_spin_lock_irqsave+0x3d/0x50 bpf_local_storage_update+0xd1/0x460 bpf_cgrp_storage_get+0x109/0x130 bpf_prog_a4d4a370ba857314_cgrp_ptr+0x139/0x170 ? __bpf_prog_enter_recur+0x16/0x80 bpf_trampoline_6442485186+0x43/0xa4 cgroup_storage_ptr+0x9/0x20 (manteniendo el bloqueo de almacenamiento local) bpf_selem_unlink_storage_nolock.constprop.0+0x135/0x160 bpf_selem_unlink_storage+0x6f/0x110 bpf_local_storage_map_free+0xa2/0x110 bpf_map_free_deferred+0x5b/0x90 process_one_work+0x17c/0x390 subproceso de trabajo+0x251/0x360 kthread+0xd2/0x100 ret_from_fork+0x34/0x50 ret_from_fork_asm+0x1a/0x30 Programas: - A: SEC("fentry/cgroup_storage_ptr") - cgid (BPF_MAP_TYPE_HASH) Registra el ID del grupo de control al que pertenece la tarea actual en este mapa hash, utilizando la dirección del grupo de control como clave del mapa. - cgrpa (BPF_MAP_TYPE_CGRP_STORAGE) Si la tarea actual es un kworker, busca el mapa hash anterior utilizando el parámetro de función @owner como clave para obtener su ID de grupo de control correspondiente, que luego se utiliza para obtener un puntero confiable al grupo de control mediante bpf_cgroup_from_id(). Este puntero confiable se puede pasar a bpf_cgrp_storage_get() para finalmente activar el problema de interbloqueo. - B: SEC("tp_btf/sys_enter") - cgrpb (BPF_MAP_TYPE_CGRP_STORAGE). El único propósito de este programa es llenar el mapa hash del Programa A llamando a bpf_cgrp_storage_get() para tantas tareas de espacio de usuario como sea posible. Pasos para reproducir: - Ejecutar A; - while (true) { Ejecutar B; Destruir B; }. Solucione este problema pasando su contador de ocupación al procedimiento libre para que pueda incrementarse correctamente antes del bloqueo de almacenamiento/smap.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: se corrige la doble ejecución de contabilidad cuando btrfs_run_delalloc_range() falla [ERROR] Al ejecutar btrfs con un tamaño de bloque (4K) menor que el tamaño de página (64K, aarch64), hay una gran posibilidad de que se bloquee el kernel en generic/750, con los siguientes mensajes: (antes de los seguimientos de llamadas, se agregan 3 mensajes de depuración adicionales) Advertencia de BTRFS (dispositivo dm-3): lectura y escritura para tamaño de sector 4096 con tamaño de página 65536 es experimental Información de BTRFS (dispositivo dm-3): comprobando árbol UUID hrtimer: la interrupción tomó 5451385 ns Error de BTRFS (dispositivo dm-3): cow_file_range falló, root=4957 inode=257 start=1605632 len=69632: -28 Error de BTRFS (dispositivo dm-3): run_delalloc_nocow falló, raíz=4957 inodo=257 inicio=1605632 len=69632: -28 Error de BTRFS (dispositivo dm-3): no se pudo ejecutar el rango delalloc, raíz=4957 ino=257 folio=1572864 submit_bitmap=8-15 inicio=1605632 len=69632: -28 ------------[ cortar aquí ]------------ ADVERTENCIA: CPU: 2 PID: 3020984 at ordered-data.c:360 can_finish_ordered_extent+0x370/0x3b8 [btrfs] CPU: 2 UID: 0 PID: 3020984 Comm: kworker/u24:1 Tainted: G OE 6.13.0-rc1-custom+ #89 Tainted: [O]=OOT_MODULE, [E]=UNSIGNED_MODULE Hardware name: QEMU KVM Virtual Machine, BIOS unknown 2/2/2022 Workqueue: events_unbound btrfs_async_reclaim_data_space [btrfs] pc : can_finish_ordered_extent+0x370/0x3b8 [btrfs] lr : can_finish_ordered_extent+0x1ec/0x3b8 [btrfs] Call trace: can_finish_ordered_extent+0x370/0x3b8 [btrfs] (P) can_finish_ordered_extent+0x1ec/0x3b8 [btrfs] (L) btrfs_mark_ordered_io_finished+0x130/0x2b8 [btrfs] extent_writepage+0x10c/0x3b8 [btrfs] extent_write_cache_pages+0x21c/0x4e8 [btrfs] btrfs_writepages+0x94/0x160 [btrfs] do_writepages+0x74/0x190 filemap_fdatawrite_wbc+0x74/0xa0 start_delalloc_inodes+0x17c/0x3b0 [btrfs] btrfs_start_delalloc_roots+0x17c/0x288 [btrfs] shrink_delalloc+0x11c/0x280 [btrfs] flush_space+0x288/0x328 [btrfs] btrfs_async_reclaim_data_space+0x180/0x228 [btrfs] process_one_work+0x228/0x680 worker_thread+0x1bc/0x360 kthread+0x100/0x118 ret_from_fork+0x10/0x20 ---[ end trace 0000000000000000 ]--- BTRFS critical (device dm-3): bad ordered extent accounting, root=4957 ino=257 OE offset=1605632 OE len=16384 to_dec=16384 left=0 BTRFS critical (device dm-3): bad ordered extent accounting, root=4957 ino=257 OE offset=1622016 OE len=12288 to_dec=12288 left=0 Unable to handle kernel NULL pointer dereference at virtual address 0000000000000008 BTRFS critical (device dm-3): bad ordered extent accounting, root=4957 ino=257 OE offset=1634304 OE len=8192 to_dec=4096 left=0 CPU: 1 UID: 0 PID: 3286940 Comm: kworker/u24:3 Tainted: G W OE 6.13.0-rc1-custom+ #89 Hardware name: QEMU KVM Virtual Machine, BIOS unknown 2/2/2022 Workqueue: btrfs_work_helper [btrfs] (btrfs-endio-write) pstate: 404000c5 (nZcv daIF +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : process_one_work+0x110/0x680 lr : worker_thread+0x1bc/0x360 Call trace: process_one_work+0x110/0x680 (P) worker_thread+0x1bc/0x360 (L) worker_thread+0x1bc/0x360 kthread+0x100/0x118 ret_from_fork+0x10/0x20 Code: f84086a1 f9000fe1 53041c21 b9003361 (f9400661) ---[ end trace 0000000000000000 ]--- Kernel panic - not syncing: Oops: Fatal exception SMP: stopping secondary CPUs SMP: failed to stop secondary CPUs 2-3 Dumping ftrace buffer: (ftrace buffer empty) Kernel Offset: 0x275bb9540000 from 0xffff800080000000 PHYS_OFFSET: 0xffff8fbba0000000 CPU features: 0x100,00000070,00801250,8201720b [CAUSE] The above warning is triggered immediately after the delalloc range failure, this happens in the following sequence: - Range [1568K, 1636K) is dirty 1536K 1568K 1600K 1636K 1664K | |/////////|////////| | Where 1536K, 1600K and 1664K are page boundaries (64K page size) - Enter extent_writepage() for page 1536K - Enter run_delalloc_nocow() with locke ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: smb: cliente: Agregar verificación para next_buffer en receive_encrypted_standard() Agregar verificación para el valor de retorno de cifs_buf_get() y cifs_small_buf_get() en receive_encrypted_standard() para evitar la desreferencia del puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: acct: realizar la última escritura desde workqueue En [1] se informó que la llamada al sistema acct(2) se puede usar para activar una desreferencia NULL en los casos en que está configurada para escribir en un archivo que activa una búsqueda interna. Esto puede ocurrir, por ejemplo, al apuntar acc(2) a /sys/power/resume. En el punto donde ocurre la escritura en este archivo, la tarea que realiza la llamada ya ha salido y ha llamado a exit_fs(). Por lo tanto, una búsqueda activará una desreferencia NULL al acceder a current->fs. Reorganice el código para que la escritura final ocurra desde workqueue pero con las credenciales del llamador. Esto preserva el (extraño) modelo de permisos y casi no tiene riesgo de regresión. Sin embargo, esta API debería dejar de existir.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mtd: spi-nor: sst: Se corrige el error de escritura en SST «commit 18bcb4aa54ea ("mtd: spi-nor: sst: Factorizar la operación de escritura común a `sst_nor_write_data()`")», que introdujo un error donde solo se escribe un byte de datos, independientemente del número de bytes pasados a sst_nor_write_data(), lo que provoca un fallo del kernel durante la operación de escritura. Asegúrese de que se escriba el número correcto de bytes al pasar a sst_nor_write_data(). Rastreo de llamada: [ 57.400180] ------------[ cortar aquí ]------------ [ 57.404842] Mientras se escribían 2 bytes, se escribió 1 byte [ 57.409493] ADVERTENCIA: CPU: 0 PID: 737 at drivers/mtd/spi-nor/sst.c:187 sst_nor_write_data+0x6c/0x74 [ 57.418464] Modules linked in: [ 57.421517] CPU: 0 UID: 0 PID: 737 Comm: mtd_debug Not tainted 6.12.0-g5ad04afd91f9 #30 [ 57.429517] Hardware name: Xilinx Versal A2197 Processor board revA - x-prc-02 revA (DT) [ 57.437600] pstate: 60000005 (nZCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 57.444557] pc : sst_nor_write_data+0x6c/0x74 [ 57.448911] lr : sst_nor_write_data+0x6c/0x74 [ 57.453264] sp : ffff80008232bb40 [ 57.456570] x29: ffff80008232bb40 x28: 0000000000010000 x27: 0000000000000001 [ 57.463708] x26: 000000000000ffff x25: 0000000000000000 x24: 0000000000000000 [ 57.470843] x23: 0000000000010000 x22: ffff80008232bbf0 x21: ffff000816230000 [ 57.477978] x20: ffff0008056c0080 x19: 0000000000000002 x18: 0000000000000006 [ 57.485112] x17: 0000000000000000 x16: 0000000000000000 x15: ffff80008232b580 [ 57.492246] x14: 0000000000000000 x13: ffff8000816d1530 x12: 00000000000004a4 [ 57.499380] x11: 000000000000018c x10: ffff8000816fd530 x9 : ffff8000816d1530 [ 57.506515] x8 : 00000000fffff7ff x7 : ffff8000816fd530 x6 : 0000000000000001 [ 57.513649] x5 : 0000000000000000 x4 : 0000000000000000 x3 : 0000000000000000 [ 57.520782] x2 : 0000000000000000 x1 : 0000000000000000 x0 : ffff0008049b0000 [ 57.527916] Call trace: [ 57.530354] sst_nor_write_data+0x6c/0x74 [ 57.534361] sst_nor_write+0xb4/0x18c [ 57.538019] mtd_write_oob_std+0x7c/0x88 [ 57.541941] mtd_write_oob+0x70/0xbc [ 57.545511] mtd_write+0x68/0xa8 [ 57.548733] mtdchar_write+0x10c/0x290 [ 57.552477] vfs_write+0xb4/0x3a8 [ 57.555791] ksys_write+0x74/0x10c [ 57.559189] __arm64_sys_write+0x1c/0x28 [ 57.563109] invoke_syscall+0x54/0x11c [ 57.566856] el0_svc_common.constprop.0+0xc0/0xe0 [ 57.571557] do_el0_svc+0x1c/0x28 [ 57.574868] el0_svc+0x30/0xcc [ 57.577921] el0t_64_sync_handler+0x120/0x12c [ 57.582276] el0t_64_sync+0x190/0x194 [ 57.585933] ---[ end trace 0000000000000000 ]--- [pratyush@kernel.org: add Cc stable tag]

El complemento Workreap para WordPress es vulnerable a la escalada de privilegios mediante robo de cuenta en todas las versiones hasta la 3.2.5 incluida. Esto se debe a que el complemento no valida correctamente la identidad del usuario antes de (1) iniciar sesión automáticamente con redes sociales o (2) actualizar su perfil (por ejemplo, su contraseña). Esto permite a atacantes no autenticados (1) iniciar sesión con un usuario cualquiera si se conoce su dirección de correo electrónico o (2) cambiar la contraseña de un usuario cualquiera, incluyendo la de administradores, y aprovecharse de ello para acceder a su cuenta. NOTA: Esta vulnerabilidad se corrigió parcialmente en la versión 3.2.5.

El complemento Page Builder: Pagelayer – Drag and Drop website builder para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 1.9.8 incluida, a través de la función 'pagelayer_builder_posts_shortcode', debido a restricciones insuficientes sobre qué publicaciones se pueden incluir. Esto permite que atacantes autenticados, con acceso de colaborador o superior, extraigan datos de publicaciones privadas a las que no deberían tener acceso.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: corrige problema de rapidez en la búsqueda y expiración de la sesión Incrementa el recuento de referencia de sesión dentro del bloqueo para la búsqueda para evitar problemas de rapidez con la expiración de la sesión.

El complemento Uncanny Automator – Easy Automation, Integration, Webhooks & Workflow Builder Plugin para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 6.2 incluida a través del método 'call_webhook' de la clase Automator_Send_Webhook. Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y pueden usarse para consultar y modificar información de servicios internos.

El complemento Finale Lite – Sales Countdown Timer & Discount for WooCommerce para WordPress es vulnerable a cross site scripting basadas en DOM almacenado a través del temporizador de cuenta regresiva en todas las versiones hasta la 2.19.0 incluida, debido a una depuración de entrada y al escape de salida insuficiente. Esto permite a atacantes autenticados, con acceso de Colaborador o superior, inyectar secuencias de comandos web arbitrarias en páginas que se ejecutarán al acceder un usuario a una página inyectada.

El complemento NEX-Forms – Ultimate Form Builder – Contact forms and much more para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 8.8.1, incluida mediante la carga de archivos, debido a la insuficiente prevención de listados de directorios y la falta de aleatorización de los nombres de archivo. Esto permite que atacantes no autenticados extraigan datos confidenciales, incluidos los archivos cargados mediante un formulario.