Vulnerabilidad en kernel de Linux (CVE-2024-43900)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: medio: xc2028: evitar el use-after-free en load_firmware_cb() syzkaller informó el use-after-free en load_firmware_cb() [1]. La razón es que el módulo asignó un sintonizador de estructuras en tuner_probe(), y luego la inicialización del módulo falló, se liberó el sintonizador de estructuras. Un trabajador que creó durante la inicialización del módulo accede a este sintonizador de estructuras más tarde, lo que provocó un use-after-free. El proceso es el siguiente: task-6504 trabajador_thread tuner_probe <= alloc dvb_frontend [2]... request_firmware_nowait <= crear un trabajador... tuner_remove <= free dvb_frontend... request_firmware_work_func <= el firmware está listo load_firmware_cb <= pero ahora el dvb_frontend ha sido liberado. Para solucionar el problema, verifique el dvd_frontend en load_firmware_cb(), si es nulo, informe una advertencia y simplemente regrese. [1]: =============================================== ==================== ERROR: KASAN: use-after-free en load_firmware_cb+0x1310/0x17a0 Lectura de tamaño 8 en la dirección ffff8000d7ca2308 por tarea kworker/2:3/ 6504 Rastreo de llamadas: load_firmware_cb+0x1310/0x17a0 request_firmware_work_func+0x128/0x220 Process_one_work+0x770/0x1824 Workers_thread+0x488/0xea0 kthread+0x300/0x430 ret_from_fork+0x10/0x20 Asignado por tarea 650 4: kzalloc tuner_probe+0xb0/0x1430 i2c_device_probe+0x92c/0xaf0 very_probe+0x678/0xcd0 driver_probe_device+0x280/0x370 __device_attach_driver+0x220/0x330 bus_for_each_drv+0x134/0x1c0 __device_attach+0x1f4/0x410 dispositivo_initial_probe+0x20/0x30 bus_probe_device+0x 184/0x200 dispositivo_add+0x924/0x12c0 registro_dispositivo+0x24/0x30 i2c_new_device+0x4e0/0xc44 v4l2_i2c_new_subdev_board+0xbc/0x290 v4l2_i2c_new_subdev+0xc8/0x104 em28xx_v4l2_init+0x1dd0/0x3770 Liberado por la tarea 6504: kfree+0x238/0x4e4 tuner_remove+0x144/0x1c0 vice_remove+0xc8/0x290 __device_release_driver+0x314/0x5fc dispositivo_release_driver+0x30/0x44 bus_remove_device+0x244/0x490 device_del+0x350/0x900 device_unregister+0x28/0xd0 i2c_unregister_device+0x174/0x1d0 v4l2_device_unregister+0x224/0x380 em28xx_v4l2_init+0x1d90/0x3770 La dirección con errores pertenece al objeto en ffff8000d7ca200 0 que pertenece al caché kmalloc-2k de tamaño 2048 La dirección del error se encuentra 776 bytes dentro de la región de 2048 bytes [ffff8000d7ca2000, ffff8000d7ca2800) La dirección con errores pertenece a la página: página:ffff7fe00035f280 recuento:1 mapcount:0 mapeo:ffff8000c001f000 índice:0x0 banderas: 0x7ff800000000100(slab) : 07ff800000000100 ffff7fe00049d880 0000000300000003 ffff8000c001f000 crudo: 0000000000000000 0000000080100010 00000001ffffffff 0000000000000000 página volcada porque: kasan: mal acceso detectado Estado de la memoria alrededor de la dirección del error: ffff8000d7ca2200: fb fb fb fb fb fb fb fb fb fb fb fb f b fb fb fb ffff8000d7ca2280: fb fb fb fb fb fb fb fb fb fb fb fb fb fb >ffff8000d7ca2300: fb fb fb fb fb fb fb fb fb fb fb fb ^ ffff8000d7ca2380: fb fb fb fb fb fb fb fb fb fb fb fb fb fb ffff8000d7ca2400: b fb fb fb fb fb fb fb fb fb fb fb fb fb fb ======================================== ============================ [2] En realidad, está asignado para el sintonizador de estructuras y dvb_frontend está dentro.