Vulnerabilidad en kernel de Linux (CVE-2024-53680)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipvs: corrección de UB debido a acceso a pila no inicializado en ip_vs_protocol_init() En determinadas configuraciones del kernel al compilar con Clang/LLVM, el compilador no genera un retorno o salto como instrucción de terminación para ip_vs_protocol_init(), lo que activa la siguiente advertencia de objtool durante el tiempo de compilación: vmlinux.o: advertencia: objtool: ip_vs_protocol_init() pasa a la siguiente función __initstub__kmod_ip_vs_rr__935_123_ip_vs_rr_init6() En tiempo de ejecución, esto provoca un error al intentar cargar el módulo ipvs o un pánico en el tiempo de arranque si ipvs está integrado. El robot de prueba del kernel de Intel ha informado anteriormente de este mismo problema. Al investigar más a fondo tanto en LLVM como en el código del kernel, se revela que se trata de un problema de comportamiento indefinido. ip_vs_protocol_init() utiliza un búfer en pila de 64 caracteres para almacenar los nombres de protocolo registrados y lo deja sin inicializar después de la definición. La función llama a strnlen() al concatenar nombres de protocolo en el búfer. Con CONFIG_FORTIFY_SOURCE, strnlen() realiza un paso adicional para verificar si el último byte del búfer de caracteres de entrada es un carácter nulo (commit 3009f891bb9f ("fortify: Permitir que strlen() y strnlen() pasen longitudes conocidas en tiempo de compilación")). Esto, junto con posiblemente otras configuraciones, hace que se genere la siguiente IR: define hidden i32 @ip_vs_protocol_init() local_unnamed_addr #5 section ".init.text" align 16 !kcfi_type !29 { %1 = alloca [64 x i8], align 16 ... 14: ; preds = %11 %15 = getelementptr inbounds i8, ptr %1, i64 63 %16 = cargar i8, ptr %15, alinear 1 %17 = cola llamar i1 @llvm.is.constant.i8(i8 %16) %18 = icmp eq i8 %16, 0 %19 = seleccionar i1 %17, i1 %18, i1 falso br i1 %19, etiqueta %20, etiqueta %23 20: ; preds = %14 %21 = llamar i64 @strlen(ptr noundef nonnull dereferenceable(1) %1) #23 ... 23: ; preds = %14, %11, %20 %24 = call i64 @strnlen(ptr noundef nonnull dereferenceable(1) %1, i64 noundef 64) #24 ... } El código anterior calcula la dirección del último carácter en el búfer (valor %15) y luego carga desde él (valor %16). Como el buffer nunca se inicializa, el paso GVN de LLVM marca el valor %16 como indefinido: %13 = getelementptr inbounds i8, ptr %1, i64 63 br i1 undef, label %14, label %17 Esto otorga a los pases posteriores (SCCP, en particular) más oportunidades de DCE al propagar más el valor indefinido y, eventualmente, elimina todo después de la carga en la ubicación de la pila no inicializada: define hidden i32 @ip_vs_protocol_init() local_unnamed_addr #0 section ".init.text" align 16 !kcfi_type !11 { %1 = alloca [64 x i8], align 16 ... 12: ; preds = %11 %13 = getelementptr inbounds i8, ptr %1, i64 63 unreachable } De esta manera, el código nativo generado simplemente pasará a la siguiente función, ya que LLVM no genera ningún código para la instrucción IR inalcanzable y deja la función sin un terminador. Ponga a cero el búfer en la pila para evitar este posible UB.