Vulnerabilidad en kernel de Linux (CVE-2024-53216)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: release svc_expkey/svc_export with rcu_work La última referencia para `cache_head` se puede reducir a cero en `c_show` y `e_show` (usando `rcu_read_lock` y `rcu_read_unlock`). En consecuencia, se invocarán `svc_export_put` y `expkey_put`, lo que provocará dos problemas: 1. `svc_export_put` liberará directamente ex_uuid. Sin embargo, `e_show`/`c_show` accederá a `ex_uuid` después de `cache_put`, lo que puede desencadenar un problema de use-after-free, que se muestra a continuación. ====================================================================== ERROR: KASAN: slab-use-after-free en svc_export_show+0x362/0x430 [nfsd] Lectura de tamaño 1 en la dirección ff11000010fdc120 por la tarea cat/870 CPU: 1 UID: 0 PID: 870 Comm: cat No contaminado 6.12.0-rc3+ #1 Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.1-2.fc37 04/01/2014 Seguimiento de llamadas: dump_stack_lvl+0x53/0x70 imprimir_dirección_descripción.constprop.0+0x2c/0x3a0 imprimir_informe+0xb9/0x280 kasan_informe+0xae/0xe0 svc_export_show+0x362/0x430 [nfsd] c_show+0x161/0x390 [sunrpc] seq_read_iter+0x589/0x770 seq_read+0x1e5/0x270 proc_reg_read+0xe1/0x140 vfs_read+0x125/0x530 ksys_read+0xc1/0x160 hacer_syscall_64+0x5f/0x170 entry_SYSCALL_64_after_hwframe+0x76/0x7e Asignado por la tarea 830: kasan_save_stack+0x20/0x40 kasan_save_track+0x14/0x30 __kasan_kmalloc+0x8f/0xa0 __kmalloc_node_track_caller_noprof+0x1bc/0x400 kmemdup_noprof+0x22/0x50 svc_export_parse+0x8a9/0xb80 [nfsd] cache_do_downcall+0x71/0xa0 [sunrpc] cache_write_procfs+0x8e/0xd0 [sunrpc] proc_reg_write+0xe1/0x140 vfs_write+0x1a5/0x6d0 ksys_write+0xc1/0x160 do_syscall_64+0x5f/0x170 entry_SYSCALL_64_after_hwframe+0x76/0x7e Liberado por la tarea 868: kasan_save_stack+0x20/0x40 kasan_save_track+0x14/0x30 kasan_save_free_info+0x3b/0x60 __kasan_slab_free+0x37/0x50 kfree+0xf3/0x3e0 svc_export_put+0x87/0xb0 [nfsd] cache_purge+0x17f/0x1f0 [sunrpc] nfsd_destroy_serv+0x226/0x2d0 [nfsd] 2. No podemos dormir mientras usamos `rcu_read_lock`/`rcu_read_unlock`. Sin embargo, `svc_export_put`/`expkey_put` llamará a path_put, que posteriormente activa una operación de dormir debido al siguiente `dput`. ============================== ADVERTENCIA: uso sospechoso de RCU 5.10.0-dirty #141 No contaminado ----------------------------- ... Seguimiento de llamadas: dump_stack+0x9a/0xd0 ___might_sleep+0x231/0x240 dput+0x39/0x600 path_put+0x1b/0x30 svc_export_put+0x17/0x80 e_show+0x1c9/0x200 seq_read_iter+0x63f/0x7c0 seq_read+0x226/0x2d0 vfs_read+0x113/0x2c0 ksys_read+0xc9/0x170 do_syscall_64+0x33/0x40 entry_SYSCALL_64_after_hwframe+0x67/0xd1 Solucione estos problemas utilizando `rcu_work` para ayudar a liberar `svc_expkey`/`svc_export`. Este enfoque permite que un contexto asincrónico invoque `path_put` y también facilita la liberación de `uuid/exp/key` después de un período de gracia de RCU.