Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: amdkfd: libera correctamente gang_ctx_bo cuando no se puede inicializar la cola de usuarios El destructor de un bo gtt se declara como void amdgpu_amdkfd_free_gtt_mem(struct amdgpu_device *adev, void **mem_obj); que toma void** como segundo parámetro. GCC permite pasar void* a la función porque void* se puede convertir implícitamente a cualquier otro tipo, por lo que puede pasar la compilación. Sin embargo, pasar este parámetro void* al proceso de ejecución de la función (que espera void** y desreferenciar void**) dará como resultado errores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cpufreq/amd-pstate: Se corrige el recuento de referencias de cpufreq_policy. amd_pstate_update_limits() toma una referencia cpufreq_policy pero no disminuye el recuento de referencias en una de las rutas de salida. Corrija eso.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: thermal/netlink: Prevenir un error de segmentación del espacio de usuario ajustando el encabezado UAPI La herramienta intel-lpmd [1], que utiliza el atributo THERMAL_GENL_ATTR_CPU_CAPABILITY para recibir eventos HFI desde el espacio del kernel, encuentra un error de segmentación después de el commit 1773572863c4 ("thermal: netlink: Agregar los comandos y los eventos para los umbrales"). El problema surge porque se cambió el valor sin procesar de THERMAL_GENL_ATTR_CPU_CAPABILITY mientras que intel_lpmd todavía usa el valor anterior. Aunque intel_lpmd se puede actualizar para verificar THERMAL_GENL_VERSION y usar el valor THERMAL_GENL_ATTR_CPU_CAPABILITY apropiado, el commit en sí es cuestionable. El commit introdujo un nuevo elemento en el medio de la enumeración thermal_genl_attr, que afecta a muchos atributos existentes e introduce riesgos potenciales y cargas de mantenimiento innecesarias para los usuarios del evento de enlace de red térmico del espacio de usuario. Resuelva el problema moviendo el atributo THERMAL_GENL_ATTR_TZ_PREV_TEMP recientemente introducido al final de la enumeración thermal_genl_attr. Esto garantiza que todos los atributos de enlace de red genéricos térmicos existentes permanezcan inalterados. [ rjw: Ediciones del sujeto ]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/panthor: evitar que el valor basura en panthor_ioctl_dev_query() 'priorities_info' no esté inicializado y que el valor no inicializado se copie al objeto de usuario al llamar a PANTHOR_UOBJ_SET(). Se utiliza memset para inicializar 'priorities_info' para evitar este problema de valor basura.

El complemento Eventer - WordPress Event & Booking Manager Plugin para WordPress es vulnerable a la inyección SQL a través del parámetro reg_id en todas las versiones hasta la 3.9.9.2 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel de suscriptor y superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.

El complemento InWave Jobs para WordPress es vulnerable a la escalada de privilegios mediante el restablecimiento de contraseña en todas las versiones hasta la 3.5.1 incluida. Esto se debe a que el complemento no valida correctamente la identidad de un usuario antes de actualizar su contraseña. Esto hace posible que atacantes no autenticados cambien las contraseñas de usuarios arbitrarios, incluidos los administradores, y aprovechen esa posibilidad para obtener acceso a su cuenta.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring/uring_cmd: copiar SQE incondicionalmente en el momento de la preparación Esto no suele ser necesario, pero se han observado condiciones en las que se accede a los datos de SQE desde el SQE original después de que se haya realizado la preparación y fuera del problema inicial. Los controladores de preparación del código de operación deben garantizar que todos los datos relacionados con SQE sean estables más allá de la fase de preparación, pero uring_cmd es un poco especial en la forma en que gestiona el SQE, lo que lo hace susceptible a leer datos obsoletos. Si la aplicación ha reutilizado el SQE antes de que se complete el original, eso puede provocar la corrupción de los datos. Más adelante podemos relajar esto nuevamente una vez que uring_cmd se haya depurado un poco y evitar copiar innecesariamente el SQE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: core: vaciar la cola de trabajo de gadget después de la eliminación del dispositivo device_del() puede provocar que se programe un nuevo trabajo en la cola de trabajo gadget->work. Esto se observa, por ejemplo, con el controlador dwc3 con la siguiente pila de llamadas: device_del() gadget_unbind_driver() usb_gadget_disconnect_locked() dwc3_gadget_pullup() dwc3_gadget_soft_disconnect() usb_gadget_set_state() schedule_work(&gadget->work) Mueva flush_work() después de device_del() para garantizar que se limpie la cola de trabajo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: x86: Cargar DR6 con valor de invitado solo antes de ingresar al bucle .vcpu_run() Mueva la carga condicional de DR6 de hardware con el valor DR6 del invitado fuera del bucle .vcpu_run() del núcleo para corregir un error en el que KVM puede cargar hardware con un vcpu->arch.dr6 obsoleto. Cuando el invitado accede a un DR y el espacio de usuario del host no está depurando el invitado, KVM deshabilita la intercepción de DR y carga los valores del invitado en el hardware en VM-Enter y los guarda en VM-Exit. Esto permite que el invitado acceda a los DR a voluntad, por ejemplo, para que una secuencia de accesos a DR para configurar un punto de interrupción solo genere una VM-Exit. Para DR0-DR3, la lógica/comportamiento es idéntico entre VMX y SVM, y también idéntico entre KVM_DEBUGREG_BP_ENABLED (depuración del invitado en el espacio de usuario) y KVM_DEBUGREG_WONT_EXIT (invitado que utiliza DR), y por lo tanto KVM gestiona la carga de DR0-DR3 en código común, _fuera_ del bucle kvm_x86_ops.vcpu_run() central. Pero para DR6, el valor del invitado no necesita cargarse en el hardware para KVM_DEBUGREG_BP_ENABLED, y SVM proporciona un campo VMCB dedicado, mientras que VMX requiere software para cargar manualmente el valor del invitado, y por lo tanto, la carga del valor del invitado en DR6 es gestionada por {svm,vmx}_vcpu_run(), es decir, se realiza _dentro_ del bucle de ejecución central. Desafortunadamente, guardar los valores del invitado en VM-Exit lo inicia el x86 común, nuevamente fuera del bucle de ejecución central. Si el invitado modifica DR6 (en hardware, cuando la intercepción de DR está deshabilitada), y luego la siguiente salida de VM es una salida de VM de ruta rápida, KVM volverá a cargar el DR6 de hardware con vcpu->arch.dr6 y destruirá el valor real del invitado. El error aparece principalmente con VMX anidado porque KVM maneja el temporizador de preempción de VMX en la ruta rápida, y la ventana entre la modificación del DR6 de hardware (en el contexto del invitado) y la lectura del DR6 por parte del software del invitado es órdenes de magnitud más grande en una configuración anidada. Por ejemplo, en una configuración no anidada, el temporizador de preempción de VMX debería activarse precisamente entre la inyección de #DB y la lectura de DR6 por parte del controlador #DB, mientras que con una configuración KVM sobre KVM, la ventana donde el DR6 de hardware está "sucio" se extiende desde L1 escribiendo DR6 a VMRESUME (en L1). Vista de L1: ========== CPU 0/KVM-7289 [023] d.... 2925.640961: kvm_entry: vcpu 0 A: L1 escribe DR6 CPU 0/KVM-7289 [023] d.... 2925.640963: : Establecer DR, DR6 = 0xffff0ff1 B: CPU 0/KVM-7289 [023] d.... 2925.640967: kvm_exit: vcpu 0 motivo EXTERNAL_INTERRUPT intr_info 0x800000ec D: L1 lee DR6, arch.dr6 = 0 CPU 0/KVM-7289 [023] d.... 2925.640969: : Sincronizar DR, DR6 = 0xffff0ff0 CPU 0/KVM-7289 [023] d.... 2925.640976: kvm_entry: vcpu 0 L2 lee DR6, L1 deshabilita la intercepción de DR CPU 0/KVM-7289 [023] d.... 2925.640980: kvm_exit: vcpu 0 motivo DR_ACCESS info1 0x0000000000000216 CPU 0/KVM-7289 [023] d.... 2925.640983: kvm_entry: vcpu 0 CPU 0/KVM-7289 [023] d.... 2925.640983: : Establecer DRs, DR6 = 0xffff0ff0 L2 detecta falla CPU 0/KVM-7289 [023] d.... 2925.640987: kvm_exit: vcpu 0 motivo HLT L1 lee DR6 (confirma falla) CPU 0/KVM-7289 [023] d.... 2925.640990: : Sincronizar DRs, DR6 = 0xffff0ff0 Vista de L0: ========== L2 lee DR6, arch.dr6 = 0 CPU 23/KVM-5046 [001] d.... 3410.005610: kvm_exit: vcpu 23 motivo DR_ACCESS info1 0x0000000000000216 CPU 23/KVM-5046 [001] ..... 3410.005610: kvm_nested_vmexit: vcpu 23 motivo DR_ACCESS info1 0x0000000000000216 L2 => L1 anidada VM-Salir CPU 23/KVM-5046 [001] ..... 3410.005610: kvm_nested_vmexit_inject: motivo: DR_ACCESS ext_inf1: 0x000000000000216 CPU 23/KVM-5046 [001] d.... 3410.005610: kvm_entry: vcpu 23 CPU 23/KVM-5046 [001] d.... 3410.005611: ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring/kbuf: reasignar listas de búferes en la actualización IORING_REGISTER_PBUF_RING puede reutilizar una estructura io_buffer_list antigua si se creó para un búfer seleccionado heredado y se vació. Viola el requisito de que la mayor parte del campo debe permanecer estable después de la publicación. Siempre reasignarlo en su lugar.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: f_midi: fix MIDI Streaming descriptor lengths Mientras que los conectores MIDI están configurados correctamente, y los descriptores de endpoint MIDIStreaming están llenos con la información correcta, bNumEmbMIDIJack y bLength están configurados incorrectamente en estos descriptores. Esto no importa cuando los números de puertos de entrada y salida son iguales, pero cuando difieren, el host recibirá descriptores rotos con memoria de pila no inicializada que se filtra en el descriptor para el valor que sea menor. El significado preciso de "entrada" y "salida" en los recuentos de puertos no está claramente definido y puede ser confuso. Pero en otros lugares, el controlador usa esto constantemente para que coincida con el significado USB de IN y OUT visto desde el host, de modo que los puertos "de entrada" envían datos al host y los puertos "de salida" reciben datos de él.

El complemento School Management System for Wordpress para WordPress es vulnerable a la pérdida no autorizada de datos debido a una verificación de capacidad faltante en las acciones AJAX 'mj_smgt_remove_feetype' y 'mj_smgt_remove_category_new' en todas las versiones hasta la 93.0.0 incluida. Esto permite que atacantes no autenticados eliminen publicaciones arbitrarias.