Vulnerabilidad en kernel de Linux (CVE-2024-46828)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sched: sch_cake: arregla la lógica de contabilidad de flujo masivo para la equidad del host En sch_cake, hacemos un seguimiento del recuento de flujos masivos activos por host, cuando se ejecuta en modo de equidad de host dst/src, que se utiliza como el peso round-robin cuando se itera a través de flujos. El recuento de flujos masivos activos se actualiza siempre que un flujo cambia de estado. Esto tiene una interacción peculiar con el manejo de colisiones de hash: cuando ocurre una colisión de hash (después del hash asociativo de conjuntos), el estado del depósito de hash simplemente se actualiza para que coincida con el nuevo paquete que colisionó, y si la equidad del host está habilitada, eso también significa asignar un nuevo estado por host al flujo. Por este motivo, los contadores de flujo masivo de los host asignados al flujo se decrementan, antes de que se asigne un nuevo estado (y los contadores, que pueden no pertenecer más al mismo host, se incrementan nuevamente). Cuando se introdujo este código, el modo de equidad del host siempre estaba habilitado, por lo que la disminución era incondicional. Cuando se introdujeron los indicadores de configuración, el *incremento* se hizo condicional, pero el *decremento* no. Lo que, por supuesto, puede conducir a un decremento espurio (y un retorno asociado a U16_MAX). AFAICT, cuando la equidad del host está deshabilitada, la disminución y el retorno ocurren tan pronto como ocurre una colisión de hash (lo que no es tan común en sí mismo, debido al hash asociativo de conjuntos). Sin embargo, en la mayoría de los casos esto es inofensivo, ya que el valor solo se usa cuando el modo de equidad del host está habilitado. Entonces, para activar un desbordamiento de matriz, sch_cake primero debe configurarse con la equidad del host deshabilitada y, mientras se ejecuta en este modo, debe ocurrir una colisión de hash para causar el desbordamiento. Luego, la qdisc debe reconfigurarse para habilitar la equidad del host, lo que lleva a que la matriz esté fuera de los límites porque el valor de retorno se conserva y se usa como un índice de matriz. Parece que syzbot logró activar esto, lo que es bastante impresionante en sí mismo. Este parche corrige el problema introduciendo la misma verificación condicional en la disminución que se usa en el incremento. El error original es anterior a la actualización de Cake, pero el commit que aparece en la etiqueta de correcciones abordó ese código, lo que significa que este parche no se aplicará antes de esa fecha.