Vulnerabilidad en kernel de Linux (CVE-2025-22023)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: xhci: Don't skip on Stopped - Length Invalid Hasta el commit d56b0b2ab142 ("usb: xhci: ensure skipped isoc TDs are returns when is stopped ring") en v6.11, el controlador no omitía los TD isócronos omitidos al gestionar los eventos Stoppend y Stopped - Length Invalid. En su lugar, borraba erróneamente el indicador de omisión, lo que provocaría que el anillo se atascara, ya que los eventos futuros no coincidirán con el TD omitido, que nunca se elimina de la cola hasta que se cancela. Esta lógica defectuosa parece haber estado en su lugar sustancialmente sin cambios desde la serie 3.x hace más de 10 años, lo que probablemente habla en primer lugar sobre la relativa rareza de este caso en el uso normal, pero por la especificación no veo razón por la que no debería ser posible. Después de d56b0b2ab142, los TD se omiten inmediatamente al gestionar los eventos "Detenidos". Esto plantea un problema potencial en caso de "Detenido - Longitud Inválida", que ocurre en TD completados (probablemente ya devueltos) o en TRB de Enlace y No-Op. Este evento no se reconocerá como coincidente con ningún TD (a menos que se trate del inusual TRB de Enlace dentro de un TD) y provocará la omisión de todos los TD pendientes, devolviéndolos posiblemente antes de que finalicen, con el riesgo de pérdida de datos de isoc y posiblemente un fallo de hardware no operativo (UAF). Como solución intermedia, no omita ni borre el indicador de omisión en este tipo de evento. De este modo, el siguiente evento omitirá los TD omitidos. Una desventaja de no gestionar "Detenido - Longitud Inválida" en un Enlace dentro de un TD es que, si el TD se cancela, su longitud real no se actualizará para tener en cuenta los TRB completados (silenciosamente) antes de que se detuviera el TD. No tuve éxito en generar esta secuencia de eventos de finalización, por lo que no hay una demostración convincente de ningún desastre resultante. Puede ser una condición muy rara y desconocida. La única motivación para este parche es que, si ocurre un evento tan improbable, prefiero arriesgarme a reportar un marco isoc cancelado parcialmente completado como vacío que arriesgarme con UAF. Esto se solucionará mejor analizando el puntero TRB del evento detenido al tomar decisiones de omisión, pero es poco probable que esta modificación se incorpore a la versión 6.12, que se mantendrá vigente durante algunos años.