Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/sched: Devuelve NULL cuando htb_lookup_leaf encuentra un rbtree vacío htb_lookup_leaf tiene un BUG_ON que puede activarse con lo siguiente: tc qdisc del dev lo root tc qdisc add dev lo root handle 1: htb default 1 tc class add dev lo parent 1: classid 1:1 htb rate 64bit tc qdisc add dev lo parent 1:1 handle 2: netem tc qdisc add dev lo parent 2:1 handle 3: blackhole ping -I lo -c1 -W0.001 127.0.0.1 La causa raíz es la siguiente: 1. htb_dequeue llama a htb_dequeue_tree, que llama al controlador de dequeue en el qdisc de hoja seleccionado 2. netem_dequeue llama a enqueue en el hijo qdisc 3. blackhole_enqueue descarta el paquete y devuelve un valor que no es solo NET_XMIT_SUCCESS 4. Debido a esto, netem_dequeue llama a qdisc_tree_reduce_backlog y, dado que qlen ahora es 0, llama a htb_qlen_notify -> htb_deactivate -> htb_deactiviate_prios -> htb_remove_class_from_row -> htb_safe_rb_erase 5. Como esta es la única clase en el rbtree hprio seleccionado, __rb_change_child en __rb_erase_augmented establece el puntero rb_root en NULL 6. Debido a que blackhole_dequeue devuelve NULL, netem_dequeue devuelve NULL, lo que hace que htb_dequeue_tree llame a htb_lookup_leaf con el mismo rbtree hprio y falle el BUG_ON Se muestra el gráfico de funciones para este escenario aquí: 0) | htb_enqueue() { 0) + 13.635 us | netem_enqueue(); 0) 4.719 us | htb_activate_prios(); 0) # 2249.199 us | } 0) | htb_dequeue() { 0) 2.355 us | htb_lookup_leaf(); 0) | netem_dequeue() { 0) + 11.061 us | blackhole_enqueue(); 0) | qdisc_tree_reduce_backlog() { 0) | qdisc_lookup_rcu() { 0) 1.873 us | qdisc_match_from_root(); 0) 6.292 us | } 0) 1.894 us | htb_search(); 0) | htb_qlen_notify() { 0) 2.655 us | htb_deactivate_prios(); 0) 6.933 us | } 0) + 25.227 us | } 0) 1.983 us | blackhole_dequeue(); 0) + 86.553 us | } 0) # 2932.761 us | qdisc_warn_nonwc(); 0) | htb_lookup_leaf() { 0) | BUG_ON(); ------------------------------------------ The full original bug report can be seen here [1]. We can fix this just by returning NULL instead of the BUG_ON, as htb_dequeue_tree returns NULL when htb_lookup_leaf returns NULL. [1] https://lore.kernel.org/netdev/pF5XOOIim0IuEfhI-SOxTgRvNoDwuux7UHKnE_Y5-zVd4wmGvNk2ceHjKb8ORnzw0cGwfmVu42g9dL7XyJLf1NEzaztboTWcm0Ogxuojoeo=@willsroot.io/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: x86/xen: Se corrige la lógica de limpieza en la emulación de las hiperllamadas de sondeo schedop de Xen. kvm_xen_schedop_poll ejecuta kmalloc_array() cuando una máquina virtual sondea el host en busca de más de un canal de eventos potr (nr_ports > 1). Después de kmalloc_array(), las rutas de error deben pasar por la etiqueta "out", pero la llamada a kvm_read_guest_virt() no. [Mensaje de confirmación ajustado. - Paolo]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net:vlan: fix VLAN 0 refcount desequilibrio de alternancia de filtrado durante el tiempo de ejecución. Suponiendo que la función "rx-vlan-filter" esté habilitada en un dispositivo de red, el módulo 8021q agregará o eliminará automáticamente la VLAN 0 cuando el dispositivo de red se active o desactive administrativamente, respectivamente. Existen un par de problemas con el esquema anterior. El primer problema es una fuga de memoria que puede ocurrir si la función "rx-vlan-filter" está deshabilitada mientras el dispositivo está en ejecución: # ip link add bond1 up type bond mode 0 # ethtool -K bond1 rx-vlan-filter off # ip link del dev bond1 Cuando el dispositivo se desactiva administrativamente, la función "rx-vlan-filter" está deshabilitada, por lo que el módulo 8021q no eliminará la VLAN 0 y se producirá una fuga de memoria [1]. Otro problema que puede ocurrir es que el kernel puede eliminar automáticamente la VLAN 0 cuando el dispositivo se pone administrativamente fuera de servicio a pesar de no haberla agregado cuando el dispositivo se puso administrativamente en servicio ya que durante ese tiempo la función "rx-vlan-filter" estaba deshabilitada. null-ptr-unref o bug_on[2] se activarán mediante unregister_vlan_dev() para el desequilibrio de refcount si se alterna el filtrado durante el tiempo de ejecución: $ ip link add bond0 type bond mode 0 $ ip link add link bond0 name vlan0 type vlan id 0 protocol 802.1q $ ethtool -K bond0 rx-vlan-filter off $ ifconfig bond0 up $ ethtool -K bond0 rx-vlan-filter on $ ifconfig bond0 down $ ip link del vlan0 La causa raíz es la siguiente: paso 1: agregue vlan0 para real_dev, como bond, team. register_vlan_dev vlan_vid_add(real_dev,htons(ETH_P_8021Q),0) //refcnt=1 paso2: deshabilitar la función de filtro de vlan y habilitar real_dev paso3: cambiar el filtro de 0 a 1 vlan_device_event vlan_filter_push_vids ndo_vlan_rx_add_vid //No se agregó refcnt a real_dev vlan0 paso4: real_dev inactivo vlan_device_event vlan_vid_del(dev, htons(ETH_P_8021Q), 0); //refcnt=0 vlan_info_rcu_free //liberar vlan0 paso5: eliminar vlan0 unregister_vlan_dev BUG_ON(!vlan_info); //vlan_info es nulo Corrija ambos problemas anotando en la información de VLAN si la VLAN 0 se agregó automáticamente en NETDEV_UP y en función de eso decida si debe eliminarse en NETDEV_DOWN, independientemente del estado de la función "rx-vlan-filter". [1] objeto sin referencia 0xffff8880068e3100 (tamaño 256): comm "ip", pid 384, jiffies 4296130254 hex dump (first 32 bytes): 00 20 30 0d 80 88 ff ff 00 00 00 00 00 00 00 00 . 0............. 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace (crc 81ce31fa): __kmalloc_cache_noprof+0x2b5/0x340 vlan_vid_add+0x434/0x940 vlan_device_event.cold+0x75/0xa8 notifier_call_chain+0xca/0x150 __dev_notify_flags+0xe3/0x250 rtnl_configure_link+0x193/0x260 rtnl_newlink_create+0x383/0x8e0 __rtnl_newlink+0x22c/0xa40 rtnl_newlink+0x627/0xb00 rtnetlink_rcv_msg+0x6fb/0xb70 netlink_rcv_skb+0x11f/0x350 netlink_unicast+0x426/0x710 netlink_sendmsg+0x75a/0xc20 __sock_sendmsg+0xc1/0x150 ____sys_sendmsg+0x5aa/0x7b0 ___sys_sendmsg+0xfc/0x180 [2] kernel BUG at net/8021q/vlan.c:99! Oops: invalid opcode: 0000 [#1] SMP KASAN PTI CPU: 0 UID: 0 PID: 382 Comm: ip Not tainted 6.16.0-rc3 #61 PREEMPT(voluntary) Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.13.0-0-gf21b5a4aeb02-prebuilt.qemu.org 04/01/2014 RIP: 0010:unregister_vlan_dev (net/8021q/vlan.c:99 (discriminator 1)) RSP: 0018:ffff88810badf310 EFLAGS: 00010246 RAX: 0000000000000000 RBX: ffff88810da84000 RCX: ffffffffb47ceb9a RDX: dffffc0000000000 RSI: 0000000000000008 RDI: ffff88810e8b43c8 RBP: 0000000000000000 R08: 0000000000000000 R09: fffffbfff6cefe80 R10: ffffffffb677f407 R11: ffff88810badf3c0 R12: ffff88810e8b4000 R13: 0000000000000000 R14: ffff88810642a5c0 R15: 000000000000017e FS: 00007f1ff68c20c0(0000) GS:ffff888163a24000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: TLS: siempre actualiza la cola al leer un archivo SOCK. Tras cambios recientes en Net-Next, TCP compacta los archivos SKB de forma mucho más agresiva. Esto reveló un error en TLS que permite intentar operar en un archivo SKB antiguo al comprobar si todos los archivos SKB de la cola tienen el mismo estado de descifrado y geometría. BUG: KASAN: slab-use-after-free in tls_strp_check_rcv+0x898/0x9a0 [tls] (net/tls/tls_strp.c:436 net/tls/tls_strp.c:530 net/tls/tls_strp.c:544) Read of size 4 at addr ffff888013085750 by task tls/13529 CPU: 2 UID: 0 PID: 13529 Comm: tls Not tainted 6.16.0-rc5-virtme Call Trace: kasan_report+0xca/0x100 tls_strp_check_rcv+0x898/0x9a0 [tls] tls_rx_rec_wait+0x2c9/0x8d0 [tls] tls_sw_recvmsg+0x40f/0x1aa0 [tls] inet_recvmsg+0x1c3/0x1f0 Siempre recargue la cola, la ruta rápida es tener el registro en la cola cuando nos despertamos, de todos modos (es decir, la ruta que baja "if !strp->stm.full_len").

Inyección de HTML en Chorus CMS de Vox Media. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa mediante el parámetro "q" en "/search". Esta vulnerabilidad puede explotarse para robar datos confidenciales del usuario, como cookies de sesión, o para realizar acciones en su nombre.

La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('SQL Injection') en Ncvav Virtual PBX Software permite la inyección SQL. Este problema afecta a Virtual PBX Software: antes del 09.07.2025.

Se ha detectado una vulnerabilidad crítica en code-projects Exam Form Submission 1.0. Afecta a una función desconocida del archivo /admin/update_s8.php. La manipulación del argumento "credits" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.

Se encontró una vulnerabilidad en code-projects Exam Form Submission 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/update_fst.php. La manipulación del argumento "credits" provoca una inyección SQL. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.

Se encontró una vulnerabilidad en code-projects Exam Form Submission 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/delete_s3.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.

Se encontró una vulnerabilidad en code-projects Exam Form Submission 1.0. Se ha clasificado como crítica. Afecta una parte desconocida del archivo /admin/delete_s2.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.

Se ha detectado una vulnerabilidad en yanyutao0402 ChanCMS hasta la versión 3.1.2, clasificada como crítica. Esta vulnerabilidad afecta a la función getArticle del archivo app/modules/cms/controller/collect.js. La manipulación del argumento targetUrl provoca la deserialización. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 3.1.3 puede solucionar este problema. Se recomienda actualizar el componente afectado.

Se encontró una vulnerabilidad en code-projects Exam Form Submission 1.0 clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /admin/delete_s1.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.