Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: evitar el desbordamiento de búfer adjunto en smu_sys_set_pp_table() Si un usuario malintencionado proporciona una pptable pequeña a través de sysfs y luego una pptable más grande, puede provocar un ataque de desbordamiento de búfer en la función smu_sys_set_pp_table().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: batman-adv: se corrige el pánico durante la eliminación de la interfaz. El recuento de referencias se utiliza para garantizar que batadv_hardif_neigh_node y batadv_hard_iface no se liberen antes o durante la finalización del trabajo de batadv_v_elp_throughput_metric_update. Pero no hay garantía de que el if duro permanezca asociado con una interfaz blanda hasta que finalice el trabajo. Esto corrige un fallo provocado por el reinicio que se parece a esto: Seguimiento de llamada: batadv_v_mesh_free+0xd0/0x4dc [batman_adv] batadv_v_elp_throughput_metric_update+0x1c/0xa4 process_one_work+0x178/0x398 worker_thread+0x2e8/0x4d0 kthread+0xd8/0xdc ret_from_fork+0x10/0x20 (la llamada batadv_v_mesh_free es engañosa y en realidad no sucede) Pude hacer que el problema sucediera de manera más confiable al cambiar hardif_neigh->bat_v.metric_work work para que sea delayed work. Esto me permitió rastrear y confirmar la solución. [sven@narfation.org: evitar ingresar batadv_v_elp_get_throughput sin soft_iface]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: ctucanfd: manejar la falla de asignación de skb Si la asignación de skb falla, el puntero a struct can_frame es NULL. Esto se maneja en realidad en todas partes dentro de ctucan_err_interrupt() excepto en el único lugar. Agregue la verificación NULL omitida. Encontrado por Linux Verification Center (linuxtesting.org) con la herramienta de análisis estático SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: USB: hub: Ignorar dispositivos no compatibles con demasiadas configuraciones o interfaces Robert Morris creó un programa de prueba que puede hacer que usb_hub_to_struct_hub() desreferenciara un puntero NULL o inapropiado: Ups: error de protección general, probablemente para una dirección no canónica 0xcccccccccccccccc: 0000 [#1] SMP DEBUG_PAGEALLOC PTI CPU: 7 UID: 0 PID: 117 Comm: kworker/7:1 No contaminado 6.13.0-rc3-00017-gf44d154d6e3d #14 Nombre del hardware: FreeBSD BHYVE/BHYVE, BIOS 14.0 17/10/2021 Cola de trabajo: usb_hub_wq hub_event RIP: 0010:usb_hub_adjust_deviceremovable+0x78/0x110 ... Seguimiento de llamadas: ? die_addr+0x31/0x80 ? exc_general_protection+0x1b4/0x3c0 ? asm_exc_general_protection+0x26/0x30 ? usb_hub_adjust_deviceremovable+0x78/0x110 hub_probe+0x7c7/0xab0 usb_probe_interface+0x14b/0x350 really_probe+0xd0/0x2d0 ? __pfx___device_attach_driver+0x10/0x10 __driver_probe_device+0x6e/0x110 driver_probe_device+0x1a/0x90 __device_attach_driver+0x7e/0xc0 bus_for_each_drv+0x7f/0xd0 __device_attach+0xaa/0x1a0 bus_probe_device+0x8b/0xa0 device_add+0x62e/0x810 usb_set_configuration+0x65d/0x990 usb_generic_driver_probe+0x4b/0x70 usb_probe_device+0x36/0xd0 La causa de este error es que el dispositivo tiene dos interfaces y el controlador del concentrador se vincula a la interfaz 1 en lugar de a la interfaz 0, que es donde usb_hub_to_struct_hub() analiza. Podemos evitar que se produzca el problema si nos negamos a aceptar dispositivos concentradores que violen la especificación USB al tener más de una configuración o interfaz.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ipv6: arreglo de bucles de referencia dst en lwtunnels rpl, seg6 y ioam6 Algunos lwtunnels tienen una caché dst para dst posterior a la transformación. Si el destino del paquete no cambió, podemos terminar registrando una referencia al lwtunnel en su propia caché, y el estado del lwtunnel nunca se liberará. Descubierto por la prueba ioam6.sh, kmemleak se corrigió recientemente para detectar fugas de memoria por CPU. No estoy seguro de si rpl y seg6 realmente pueden alcanzar esto, pero en principio no veo por qué no.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sched_ext: Se corrige la detección incorrecta de la migración de autogrupos. scx_move_task() se llama desde sched_move_task() y le dice al programador BPF que se está confirmando la migración de cgroup. sched_move_task() se usa tanto en las migraciones de cgroup como de autogrupos y scx_move_task() intentó filtrar las migraciones de autogrupos probando el cgroup de destino y PF_EXITING, pero esto no es suficiente. De hecho, sin etiquetar explícitamente el hilo que está realizando la migración de cgroup, no hay una buena manera de diferenciar las invocaciones de scx_move_task() para la migración de ejecución al cgroup raíz y una migración de autogrupo. Esto provocó que scx_move_task() ignorara incorrectamente una migración desde un cgroup no raíz a un autogrupo del cgroup raíz, lo que activaba la siguiente advertencia: ADVERTENCIA: CPU: 7 PID: 1 en kernel/sched/ext.c:3725 scx_cgroup_can_attach+0x196/0x340 ... Seguimiento de llamadas: cgroup_migrate_execute+0x5b1/0x700 cgroup_attach_task+0x296/0x400 __cgroup_procs_write+0x128/0x140 cgroup_procs_write+0x17/0x30 kernfs_fop_write_iter+0x141/0x1f0 vfs_write+0x31d/0x4a0 __x64_sys_write+0x72/0xf0 do_syscall_64+0x82/0x160 entry_SYSCALL_64_after_hwframe+0x76/0x7e Solucione el problema agregando un argumento a sched_move_task() que indique si el movimiento es para una migración de cgroup o de autogroup. Después del cambio, se llama a scx_move_task() solo para migraciones de cgroup y se le cambia el nombre a scx_cgroup_move_task().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ptp: vmclock: Agregar .owner a vmclock_miscdev_fops Sin el campo .owner, el módulo se puede descargar mientras /dev/vmclock0 está abierto, lo que genera un error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iommu: Se corrige una posible pérdida de memoria en iopf_queue_remove_device() El asistente iopf_queue_remove_device() elimina un dispositivo de la cola de iopf por iommu cuando PRI está deshabilitado en el dispositivo. Responde a todos los iopf pendientes con un código IOMMU_PAGE_RESP_INVALID y separa el dispositivo de la cola. Sin embargo, no libera la estructura de grupo que representa un grupo de iopf que esperan una respuesta después de responder al hardware. Esto puede provocar una pérdida de memoria si se llama a iopf_queue_remove_device() con iopf pendientes. Corríjalo llamando a iopf_free_group() después de que se responda al grupo de iopf.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: etas_es58x: corrige una posible desreferencia de puntero NULL en udev->serial El controlador asumió que es58x_dev->udev->serial nunca podría ser NULL. Si bien esto es cierto en dispositivos disponibles comercialmente, un atacante podría falsificar la identidad del dispositivo proporcionando un número de serie USB NULL. Eso activaría una desreferencia de puntero NULL. Agregue una verificación en es58x_dev->udev->serial antes de acceder a él.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ndisc: usar protección RCU en ndisc_alloc_skb() ndisc_alloc_skb() se puede llamar sin que se mantenga RTNL o RCU. Agregue protección RCU para evitar posibles UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv6: usar protección RCU en ip6_default_advmss() ip6_default_advmss() necesita protección RCU para asegurarse de que la estructura de red que lee no desaparezca.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv4: usar protección RCU en __ip_rt_update_pmtu() __ip_rt_update_pmtu() debe usar protección RCU para asegurarse de que la estructura de red que lee no desaparezca.