Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: atmel: Se corrige la gestión de errores en snd_proto_probe El puntero device_node es devuelto por of_parse_phandle() con refcount incrementado. Deberíamos usar of_node_put() en él cuando haya terminado. Esta función solo llama a of_node_put() en la ruta regular. Y provocará una fuga de refcount en las rutas de error. Corrija esto llamando también a of_node_put() en la gestión de errores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: stk1160: Si falla el inicio de la transmisión, se devuelven los búferes con VB2_BUF_STATE_QUEUED Si falla la devolución de llamada 'start_streaming', todos los búferes en cola en el controlador deben devolverse con el estado 'VB2_BUF_STATE_QUEUED'. Actualmente, se devuelven con 'VB2_BUF_STATE_ERROR', lo cual es incorrecto. Arregle esto. Esto también corrige la advertencia: [ 65.583633] ADVERTENCIA: CPU: 5 PID: 593 en drivers/media/common/videobuf2/videobuf2-core.c:1612 vb2_start_streaming+0xd4/0x160 [videobuf2_common] [ 65.585027] Módulos vinculados en: snd_usb_audio snd_hwdep snd_usbmidi_lib snd_rawmidi snd_soc_hdmi_codec dw_hdmi_i2s_audio saa7115 stk1160 videobuf2_vmalloc videobuf2_memops videobuf2_v4l2 videobuf2_common videodev mc crct10dif_ce panfrost snd_soc_simple_card snd_soc_audio_graph_card snd_soc_spdif_tx snd_soc_simple_card_utils gpu_sched phy_rockchip_pcie snd_soc_rockchip_i2s rockchipdrm analogix_dp dw_mipi_dsi dw_hdmi cec drm_kms_helper drm rtc_rk808 rockchip_saradc industrialio_triggered_buffer kfifo_buf rockchip_thermal pcie_rockchip_host ip_tables x_tables ipv6 [ 65.589383] CPU: 5 PID: 593 Comm: v4l2src0:src Contaminado: GW 5.16.0-rc4-62408-g32447129cb30-dirty #14 [ 65.590293] Hardware nombre: Radxa ROCK Pi 4B (DT) [ 65.590696] estado de la página: 80000005 (Nzcv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 65.591304] computadora personal: vb2_start_streaming+0xd4/0x160 [videobuf2_common] [ 65.591850] lr: vb2_start_streaming+0x6c/0x160 [videobuf2_common] [ 65.592395] servidor de correo electrónico: ffff800012bc3ad0 [ 65.592685] x29: ffff800012bc3ad0 x28: 0000000000000000 x27: ffff800012bc3cd8 [ 65.593312] x26: 0000000000000000 x25: ffff00000d8a7800 x24: 0000000040045612 [ 65.593938] x23: ffff800011323000 x22: ffff800012bc3cd8 x21: ffff00000908a8b0 [ 65.594562] x20: ffff00000908a8c8 x19: 00000000ffffff4 x18: ffffffffffffffff [ 65.595188] x17: 000000040044ffff x16: 00400034b5503510 x15: ffff800011323f78 [ 65.595813] x14: ffff000013163886 x13: ffff000013163885 x12: 00000000000002ce [ 65.596439] x11: 0000000000000028 x10: 0000000000000001 x9: 0000000000000228 [65.597064] x8: 0101010101010101 x7: 7f7f7f7f7f7f7f7f x6 : fefefeff726c5e78 [ 65.597690] x5 : ffff800012bc3990 x4 : 0000000000000000 x3 : ffff000009a34880 [ 65.598315] x2 : 000000000000000 x1 : 0000000000000000 x0 : ffff000007cd99f0 [ 65.598940] Rastreo de llamadas: [ 65.599155] vb2_start_streaming+0xd4/0x160 [videobuf2_common] [ 65.599672] vb2_core_streamon+0x17c/0x1a8 [videobuf2_common] [ 65.600179] vb2_streamon+0x54/0x88 [videobuf2_v4l2] [ 65.600619] vb2_ioctl_streamon+0x54/0x60 [videobuf2_v4l2] [ 65.601103] v4l_streamon+0x3c/0x50 [videodev] [ 65.601521] __video_do_ioctl+0x1a4/0x428 [videodev] [ 65.601977] video_usercopy+0x320/0x828 [videodev] [ 65.602419] video_ioctl2+0x3c/0x58 [videodev] [ 65.602830] v4l2_ioctl+0x60/0x90 [videodev] [ 65.603227] __arm64_sys_ioctl+0xa8/0xe0 [ 65.603576] invoke_syscall+0x54/0x118 [ 65.603911] el0_svc_common.constprop.3+0x84/0x100 [ 65.604332] do_el0_svc+0x34/0xa0 [ 65.604625] el0_svc+0x1c/0x50 [ 65.604897] el0t_64_sync_handler+0x88/0xb0 [ 65.605264] el0t_64_sync+0x16c/0x170 [ 65.605587] ---[ fin del seguimiento 578e0ba07742170d ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ALSA: firewire-lib: corrige el indicador no inicializado para las transacciones diferidas de AV/C. Las transacciones diferidas de AV/C tenían soporte en una confirmación 00a7bb81c20f ("ALSA: firewire-lib: agregar soporte para transacciones diferidas"), mientras que el indicador &amp;#39;diferible&amp;#39; se puede desinicializar para transacciones AV/C que no sean de control/notificación. UBSAN lo informa: kernel: == ... 5/AX370-Gaming 5, BIOS F42b 01/08/2019 núcleo: Seguimiento de llamadas: núcleo: kernel: show_stack+0x52/0x58 kernel: dump_stack_lvl+0x4a/0x5f kernel: dump_stack+0x10/0x12 kernel: ubsan_epilogue+0x9/0x45 kernel: __ubsan_handle_load_invalid_value.cold+0x44/0x49 kernel: fcp_response.part.0.cold+0x1a/0x2b [snd_firewire_lib] kernel: fcp_response+0x28/0x30 [snd_firewire_lib] kernel: fw_core_handle_request+0x230/0x3d0 [firewire_core] kernel: handle_ar_packet+0x1d9/0x200 [firewire_ohci] kernel: ? handle_ar_packet+0x1d9/0x200 [firewire_ohci] kernel: ? transmit_complete_callback+0x9f/0x120 [firewire_core] kernel: ar_context_tasklet+0xa8/0x2e0 [firewire_ohci] kernel: tasklet_action_common.constprop.0+0xea/0xf0 kernel: tasklet_action+0x22/0x30 kernel: __do_softirq+0xd9/0x2e3 kernel: ? irq_finalize_oneshot.part.0+0xf0/0xf0 kernel: do_softirq+0x75/0xa0 kernel: kernel: kernel: __local_bh_enable_ip+0x50/0x60 kernel: irq_forced_thread_fn+0x7e/0x90 kernel: irq_thread+0xba/0x190 kernel: ? irq_thread_fn+0x60/0x60 kernel: kthread+0x11e/0x140 kernel: ? irq_thread_check_affinity+0xf0/0xf0 kernel: ? set_kthread_struct+0x50/0x50 kernel: ret_from_fork+0x22/0x30 kernel: kernel: ================================================================================<br /> Esta confirmación corrige el error. El error no tiene ninguna desventaja para las transacciones AV/C que no son de control/notificación, ya que el indicador tiene un efecto para la respuesta AV/C con estado INTERIM (0x0f), que no se utiliza para las transacciones en la especificación general AV/C.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: codecs: wc938x: se corrige el acceso a una matriz fuera de los límites para el tipo de enumeración. El acceso a enumeraciones mediante números enteros daría como resultado un acceso a una matriz fuera de los límites en plataformas como aarch64 donde sizeof(long) es 8 en comparación con el tamaño de la enumeración, que es de 4 bytes. Corrija esto utilizando elementos enumerados en lugar de números enteros.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: codecs: rx-macro: fix accessing compander for aux AUX interpolator does not have compander, so check before accessing compander data for this. Without this check, an array of out bounds access will be made in comp_enabled[] array. El interpolador AUX no tiene compander, por lo que se debe verificar esto antes de acceder a los datos del compander. Sin esta verificación, se realizará un acceso a la matriz de los límites de salida en la matriz comp_enabled[].

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mt76: mt7915: corrige una posible pérdida de memoria en mt7915_mcu_add_sta. Libera skb asignado en la rutina mt7915_mcu_add_sta en caso de fallo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rtw88: se corrige el desbordamiento de memoria y la pérdida de memoria durante hw_scan Anteriormente, asignábamos menos memoria de la que realmente se requería, la sobrescritura en el búfer hace que el módulo mm se queje y genere fallos de violación de acceso. Junto con posibles pérdidas de memoria cuando se devuelve antes. Solucione estos problemas pasando el tamaño correcto y el flujo de deinit adecuado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: Corrige una desreferencia de puntero NULL en amdgpu_dm_connector_add_common_modes() En amdgpu_dm_connector_add_common_modes(), amdgpu_dm_create_common_mode() se asigna a mode y se pasa a drm_mode_probed_add() directamente después de eso. drm_mode_probed_add() pasa &amp;amp;mode-&amp;gt;head a list_add_tail(), y hay una desreferencia de este en list_add_tail() sin recuperaciones, lo que podría provocar una desreferencia de puntero NULL en caso de fallo de amdgpu_dm_create_common_mode(). Corrige esto agregando una comprobación NULL de mode. Este error fue encontrado por un analizador estático. Las compilaciones con &amp;#39;make allyesconfig&amp;#39; no muestran nuevas advertencias y nuestro analizador estático ya no advierte sobre este código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: Llamar a dc_stream_release para eliminar la asignación de enc de enlace [Por qué] Un error de portabilidad provocó que la asignación de flujo para el enlace se mantuviera sin liberarse: una pérdida de memoria. [Cómo] Corrija el error de portabilidad agregando nuevamente dc_stream_release() previsto como parte del parche original.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: dsa: Evitar la sincronización entre chips del filtrado de VLAN Los cambios en el filtrado de VLAN no son aplicables a las notificaciones entre chips. En un sistema como este: .-----. .-----. .-----. | sw1 +---+ sw2 +---+ sw3 | &amp;#39;-1-2-&amp;#39; &amp;#39;-1-2-&amp;#39; &amp;#39;-1-2-&amp;#39; Antes de este cambio, al salir sw1p1 de un puente, también se realizaba una llamada a dsa_port_vlan_filtering a sw2p1 y sw3p1. En este escenario: .---------. .-----. .-----. | sw1 +---+ sw2 +---+ sw3 | &amp;#39;-1-2-3-4-&amp;#39; &amp;#39;-1-2-&amp;#39; &amp;#39;-1-2-&amp;#39; Cuando sw1p4 abandonara un puente, se llamaría a dsa_port_vlan_filtering para sw2 y sw3 con un puerto inexistente, lo que provocaría accesos fuera de los límites de la matriz y fallos en mv88e6xxx.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath9k_htc: corregir errores de valores no inicializados Syzbot informó de 2 errores de KMSAN en ath9k. Todos ellos son causados por la falta de inicialización de campos. En htc_connect_service(), svc_meta_len y pad no se inicializan. Según el código, parece que en el skb actual no hay datos de servicio, por lo que simplemente inicialice svc_meta_len a 0. htc_issue_send() no inicializa la matriz htc_frame_hdr::control. Basado en el código del firmware, lo inicializará por sí mismo, así que simplemente ponga a cero toda la matriz para que KMSAN esté contento Registros de errores: ERROR: KMSAN: kernel-usb-infoleak en usb_submit_urb+0x6c1/0x2aa0 drivers/usb/core/urb.c:430 usb_submit_urb+0x6c1/0x2aa0 drivers/usb/core/urb.c:430 hif_usb_send_regout drivers/net/wireless/ath/ath9k/hif_usb.c:127 [en línea] hif_usb_send+0x5f0/0x16f0 drivers/net/wireless/ath/ath9k/hif_usb.c:479 htc_issue_send drivers/net/wireless/ath/ath9k/htc_hst.c:34 [en línea] htc_connect_service+0x143e/0x1960 drivers/net/wireless/ath/ath9k/htc_hst.c:275 ... Uninit se creó en: slab_post_alloc_hook mm/slab.h:524 [en línea] slab_alloc_node mm/slub.c:3251 [en línea] __kmalloc_node_track_caller+0xe0c/0x1510 mm/slub.c:4974 kmalloc_reserve net/core/skbuff.c:354 [en línea] __alloc_skb+0x545/0xf90 net/core/skbuff.c:426 alloc_skb include/linux/skbuff.h:1126 [en línea] htc_connect_service+0x1029/0x1960 drivers/net/wireless/ath/ath9k/htc_hst.c:258 ... Los bytes 4-7 de 18 no están inicializados El acceso a la memoria de tamaño 18 comienza en ffff888027377e00 ERROR: KMSAN: kernel-usb-infoleak en usb_submit_urb+0x6c1/0x2aa0 drivers/usb/core/urb.c:430 usb_submit_urb+0x6c1/0x2aa0 drivers/usb/core/urb.c:430 hif_usb_send_regout drivers/net/wireless/ath/ath9k/hif_usb.c:127 [en línea] hif_usb_send+0x5f0/0x16f0 drivers/net/wireless/ath/ath9k/hif_usb.c:479 htc_issue_send drivers/net/wireless/ath/ath9k/htc_hst.c:34 [en línea] htc_connect_service+0x143e/0x1960 drivers/net/wireless/ath/ath9k/htc_hst.c:275 ... Uninit se creó en: slab_post_alloc_hook mm/slab.h:524 [en línea] slab_alloc_node mm/slub.c:3251 [en línea] __kmalloc_node_track_caller+0xe0c/0x1510 mm/slub.c:4974 kmalloc_reserve net/core/skbuff.c:354 [en línea] __alloc_skb+0x545/0xf90 net/core/skbuff.c:426 alloc_skb include/linux/skbuff.h:1126 [en línea] htc_connect_service+0x1029/0x1960 drivers/net/wireless/ath/ath9k/htc_hst.c:258 ... Los bytes 16-17 de 18 no están inicializados. El acceso a la memoria de tamaño 18 comienza en ffff888027377e00

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Arreglar UAF debido a la ejecución entre btf_try_get_module y load_module Mientras trabajaba en el código para rellenar los conjuntos de ID de BTF de kfunc para el módulo BTF desde su initcall, noté que para el momento en que se invoca la initcall, el espacio de usuario (y el verificador BPF) ya puede ver el módulo BTF. El btf_try_get_module existente llama a try_module_get, que solo falla si mod-&amp;gt;state == MODULE_STATE_GOING, es decir, puede incrementar la referencia del módulo cuando la initcall del módulo está sucediendo en paralelo. Actualmente, el análisis de BTF ocurre desde la devolución de llamada del notificador MODULE_STATE_COMING. En este punto, las initcalls del módulo no han sido invocadas. La devolución de llamada del notificador analiza y prepara el módulo BTF, asigna un ID, que lo publica en el espacio de usuario y luego lo agrega a la lista btf_modules, lo que permite que el núcleo invoque btf_try_get_module para el BTF. Sin embargo, en este punto, el módulo no se ha inicializado por completo (es decir, sus llamadas de inicio no han finalizado). El código en module.c aún puede fallar y liberar el módulo, sin preocuparse por otros usuarios. Sin embargo, nada impide que btf_try_get_module tenga éxito entre la transición de estado de MODULE_STATE_COMING a MODULE_STATE_LIVE. Esto conduce a un problema de use-after-free cuando el programa BPF se carga correctamente en la transición de estado, la llamada do_init_module de load_module falla y libera el módulo, y el programa BPF fd al cerrar llama a module_put para el módulo liberado. El parche futuro tiene un caso de prueba para verificar que no retrocedamos en esta área en el futuro. Hay varios puntos después de prepare_coming_module (en load_module) donde puede ocurrir un fallo y la carga del módulo puede devolver un error. Ilustramos y probamos la ejecución usando el último punto donde puede ocurrir prácticamente (en la función __init del módulo). Una ilustración de la ejecución: CPU 0 CPU 1 load_module notifier_call(MODULE_STATE_COMING) btf_parse_module btf_alloc_id // Publicado en el espacio de usuario list_add(&amp;amp;btf_mod-&amp;gt;list, btf_modules) mod-&amp;gt;init(...) ... ^ bpf_check | check_pseudo_btf_id | btf_try_get_module | devuelve verdadero | ... ... | módulo __init en progreso devuelve prog_fd | ... ... V if (ret &amp;lt; 0) free_module(mod) ... close(prog_fd) ... bpf_prog_free_deferred module_put(used_btf.mod) // use-after-free Solucionamos este problema estableciendo un indicador BTF_MODULE_F_LIVE, desde la devolución de llamada del notificador cuando se alcanza el estado MODULE_STATE_LIVE para el módulo, de modo que devolvamos NULL desde btf_try_get_module para los módulos que no están completamente formados. Dado que try_module_get ya verifica que el módulo no esté en el estado MODULE_STATE_GOING, y esa es la única transición que un módulo activo puede hacer antes de ser eliminado de la lista btf_modules, esto es suficiente para cerrar la ejecución y evitar el error. Un parche de autoprueba posterior crea la condición de ejecución artificialmente para verificar que se ha solucionado, y que el verificador no puede cargar el programa (con ENXIO). Por último, un par de comentarios: 1. Incluso si esta ejecución no existiera, parece más apropiado acceder solo a los recursos (ksyms y kfuncs) de un módulo completamente formado que se haya inicializado por completo. 2. Este parche nació de la necesidad de sincronización con el módulo initcall para el próximo parche, por lo que es necesario para la corrección incluso sin la condición de ejecución mencionada anteriormente. Los recursos BTF inicializados por el módulo initcall se configuran una vez y luego solo se buscan, por lo que simplemente esperar hasta que el initcall haya terminado garantiza un comportamiento correcto.