Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kernel/irq/irqdomain.c: se corrige la pérdida de memoria mediante el uso de debugfs_lookup(). Al llamar a debugfs_lookup(), se debe ejecutar dput() en el resultado; de lo contrario, la pérdida de memoria se producirá con el tiempo. Para simplificar, simplemente llame a debugfs_lookup_and_remove(), que gestiona toda la lógica a la vez.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HV: hv_balloon: se corrige una fuga de memoria con debugfs_lookup(). Al llamar a debugfs_lookup(), se debe ejecutar dput() en el resultado; de lo contrario, la fuga de memoria se producirá con el tiempo. Para simplificar, simplemente llame a debugfs_lookup_and_remove(), que gestiona toda la lógica a la vez.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: typec: ucsi: No intente reanudar los puertos antes de que existan. Esto solucionará la desreferencia de puntero nulo que fue causada por el controlador que intentaba reanudar puertos que aún no estaban registrados.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: memcg: corregir puntero NULL en mem_cgroup_track_foreign_dirty_slowpath() Como confirmación 18365225f044 ("hwpoison, memcg: descargar a la fuerza páginas LRU"), hwpoison descargará a la fuerza una página LRU hwpoisoned, folio_memcg podría ser NUL, luego, mem_cgroup_track_foreign_dirty_slowpath() podría producir una desreferencia de puntero NULL, no registremos las reescrituras externas para folio memcg es nulo en mem_cgroup_track_foreign_dirty() para solucionarlo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/khugepaged: corrección de la ejecución->anon_vma. Si se adjunta un ->anon_vma al VMA, la función collapse_and_free_pmd() requiere que esté bloqueada. Se permite el recorrido de la tabla de páginas bajo cualquiera de los bloqueos mmap, anon_vma (si el VMA está asociado a un anon_vma) y mapeo (si el VMA está asociado a un mapeo). Por lo tanto, para poder eliminar tablas de páginas, debemos mantener las tres. La función retract_page_tables() se activa si se adjunta un ->anon_vma, pero realiza esta comprobación antes de mantener el bloqueo mmap (como explica el comentario sobre la comprobación). Si fusionamos rápidamente un ->anon_vma existente (compartido con un proceso hijo) de un VMA vecino, los recorridos posteriores de rmap en páginas pertenecientes al hijo podrán ver las tablas de páginas que estamos eliminando simultáneamente, asumiendo que nadie más puede acceder a ellas. Repetir la comprobación de ->anon_vma una vez que mantengamos el bloqueo mmap para garantizar que no haya accesos simultáneos a la tabla de páginas. Este error genera una advertencia de lockdep en el comando breakdown_and_free_pmd(), en la línea "lockdep_assert_held_write(&vma->anon_vma->root->rwsem)". También puede provocar accesos de use-after-free.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Omite llamada kfunc no válida en backtrack_insn El verificador omite llamada kfunc no válida en check_kfunc_call(), que se capturaría en fixup_kfunc_call() si dicha insn no se elimina mediante la eliminación de código muerto. Sin embargo, esto puede generar la siguiente advertencia en backtrack_insn(), vea también [1]: ------------[ cortar aquí ]------------ error de retroceso del verificador ADVERTENCIA: CPU: 6 PID: 8646 en kernel/bpf/verifier.c:2756 backtrack_insn kernel/bpf/verifier.c:2756 __mark_chain_precision kernel/bpf/verifier.c:3065 mark_chain_precision kernel/bpf/verifier.c:3165 adjust_reg_min_max_vals kernel/bpf/verifier.c:10715 check_alu_op kernel/bpf/verifier.c:10928 do_check kernel/bpf/verifier.c:13821 [en línea] do_check_common kernel/bpf/verifier.c:16289 [...] Así que haga que el retroceso sea conservador con esto devolviendo ENOTSUPP. [1] https://lore.kernel.org/bpf/CACkBjsaXNceR8ZjkLG=dT3P=4A8SBsg0Z5h5PWLryF5=ghKq=g@mail.gmail.com/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvmem: core: fix cleanup after dev_set_name(). Si dev_set_name() falla, se filtra nvmem->wp_gpio, ya que la limpieza no lo incluye. Si bien una solución mínima sería añadir la llamada gpiod_put(), podemos mejorar si dividimos device_register() y usamos el código de limpieza nvmem_release() probado, inicializando el dispositivo antes y colocándolo. Esto resulta en una corrección ligeramente mayor, pero con código limpio. Nota: Este parche depende de "nvmem: core: initialise nvmem->id early" y "nvmem: core: remove nvmem_config wp_gpio". [Srini: Se corrigió la línea de asunto y la gestión del código de error con wp_gpio durante la aplicación].

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915: Se corrige la posible doble liberación de bit_17. Un espacio de usuario con varios subprocesos que compiten con I915_GEM_SET_TILING para establecer el mosaico en I915_TILING_NONE podría provocar una doble liberación de la máscara de bits bit_17. (O, por el contrario, una fuga de memoria al cambiar a mosaico). Se ha trasladado la asignación/liberación de la máscara de bits dentro de la sección protegida por el bloqueo obj. [tursulin: Se corrige la etiqueta de correcciones y se ha añadido la versión estable de cc.] (Seleccionado del commit 10e0cbaaf1104f449d695c80bcacf930dcd3c42e)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915: Evite el posible use-after-free de la máquina virtual. Añada la máquina virtual a vm_xa la hace visible para el espacio de usuario, lo que podría intentar cerrarla rápidamente. Por lo tanto, debemos tomar nuestra referencia adicional antes de añadirla a la tabla. (Seleccionado del commit 99343c46d4e2b34c285d3d5f68ff04274c2f9fb4)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/swapfile: añadir cond_resched() en get_swap_pages() El bloqueo suave todavía ocurre en get_swap_pages() bajo presión de memoria. 64 núcleos de CPU, 64 GB de memoria y 28 dispositivos zram, el tamaño del disco de cada dispositivo zram es de 50 MB con la misma prioridad que si. Utilice la herramienta stress-ng para aumentar la presión de memoria, lo que hace que el sistema se sobrecargue con frecuencia. Los bucles plist_for_each_entry_safe() en get_swap_pages() podrían alcanzar decenas de miles de veces para encontrar espacio disponible (caso extremo: cond_resched() no se llama en scan_swap_map_slots()). Agreguemos cond_resched() a get_swap_pages() cuando no se pueda encontrar espacio disponible para evitar el bloqueo suave.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/hugetlb: corrección de la gestión de marcadores PTE en hugetlb_change_protection(). Serie de parches "mm/hugetlb: corrección de uffd-wp para hugetlb_change_protection()". Al experimentar con virtio-mem e instantáneas en segundo plano (usando uffd-wp) en hugetlb en QEMU, logré activar un error VM_BUG_ON(). Al analizar los detalles, hugetlb_change_protection() parece no manejar uffd-wp correctamente en todos los casos. El parche n.° 1 corrige mi caso de prueba. No tengo reproductores para el parche n.° 2, ya que requiere la ejecución de entradas de migración. Aún no he comprobado en detalle si el código de !hugetlb requiere un cuidado similar. Este parche (de 2): Hay dos casos problemáticos al encontrar un marcador PTE en hugetlb_change_protection(): (1) Protegemos un marcador PTE uffd-wp por segunda vez usando uffd-wp: terminaremos en el caso "!huge_pte_none(pte)" y dañaremos el marcador PTE. (2) Desprotegemos un marcador PTE uffd-wp: terminaremos en el caso "!huge_pte_none(pte)" aunque hayamos borrado el PTE, porque la variable "pte" está obsoleta. Dañaremos el marcador PTE. Por ejemplo, si posteriormente encontramos un marcador PTE "modificado incorrectamente", lo trataremos como un PTE existente que asigna una página basura. Esto se puede activar, por ejemplo, al mapear un memfd respaldado por páginas grandes, registrar uffd-wp, hacer uffd-wp en una página no mapeada y (a) hacer uffd-wp una segunda vez; o (b) desprotegerla con uffd; o (c) anular el registro de uffd-wp. Luego, si activamos fallocate(FALLOC_FL_PUNCH_HOLE) en ese rango de archivos, nos encontraremos con un VM_BUG_ON: [ 195.039560] page:00000000ba1f2987 refcount:1 mapcount:0 mapping:000000000000000 index:0x0 pfn:0x0 [ 195.039565] flags: 0x7ffffc0001000(reserved|node=0|zone=0|lastcpupid=0x1fffff) [ 195.039568] raw: 0007ffffc0001000 ffffe742c0000008 ffffe742c0000008 000000000000000 [ 195.039569] raw: 0000000000000000 000000000000000 0000000000000 00000001ffffffff 0000000000000000 [ 195.039569] página volcada porque: VM_BUG_ON_PAGE(compound && !PageHead(page)) [ 195.039573] ------------[ cortar aquí ]------------ [ 195.039574] ¡ERROR del kernel en mm/rmap.c:1346! [ 195.039579] Código de operación no válido: 0000 [#1] PREEMPT SMP NOPTI [ 195.039581] CPU: 7 PID: 4777 Comm: qemu-system-x86 No contaminado 6.0.12-200.fc36.x86_64 #1 [ 195.039583] Nombre del hardware: LENOVO 20WNS1F81N/20WNS1F81N, BIOS N35ET50W (1.50) 15/09/2022 [ 195.039584] RIP: 0010:page_remove_rmap+0x45b/0x550 [ 195.039588] Código: [...] [ 195.039589] RSP: 0018:ffffbc03c3633ba8 EFLAGS: 00010292 [ 195.039591] RAX: 0000000000000040 RBX: ffffe742c0000000 RCX: 0000000000000000 [ 195.039592] RDX: 0000000000000002 RSI: ffffffff8e7aac1a RDI: 00000000ffffffff [ 195.039592] RBP: 00000000000000001 R08: 0000000000000000 R09: ffffbc03c3633a08 [ 195.039593] R10: 0000000000000003 R11: ffffffff8f146328 R12: ffff9b04c42754b0 [ 195.039594] R13: ffffffff8fcc6328 R14: ffffbc03c3633c80 R15: ffff9b0484ab9100 [ 195.039595] FS: 00007fc7aaf68640(0000) GS:ffff9b0bbf7c0000(0000) knlGS:0000000000000000 [ 195.039596] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 195.039597] CR2: 000055d402c49110 CR3: 0000000159392003 CR4: 0000000000772ee0 [ 195.039598] PKRU: 55555554 [ 195.039599] Rastreo de llamadas: [ 195.039600] [ 195.039602] __unmap_hugepage_range+0x33b/0x7d0 [ 195.039605] unmap_hugepage_range+0x55/0x70 [ 195.039608] hugetlb_vmdelete_list+0x77/0xa0 [ 195.039611] hugetlbfs_fallocate+0x410/0x550 [ 195.039612] ? _raw_spin_unlock_irqrestore+0x23/0x40 [ 195.039616] vfs_fallocate+0x12e/0x360 [ 195.039618] __x64_sys_fallocate+0x40/0x70 [ 195.039620] hacer_syscall_64+0x58/0x80 [ 195.039623] ? syscall_exit_to_user_mode+0x17/0x40 [ 195.039624] ? do_syscall_64+0x67/0x80 [ 195.039626] entry_SYSCALL_64_after_hwframe+0x63/0xcd [ 195.039628] RIP: 0033:0x7fc7b590651f [ 195.039653] Código: [...] [ 195.039654] RSP: 002b:00007fc7aaf66e70 EFLAGS: 00000293 ORIG_RAX: 000000000000011d [ 195.039655] RAX: ffffffffffffffda ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: reset: uniphier-glue: corrige posible null-ptr-deref Provocará null-ptr-deref cuando se invoque resource_size(res), si platform_get_resource() devuelve NULL.