Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: qat - agregar comprobación de parámetros para solicitudes de rechazo DH con un búfer de origen que sea más grande que el tamaño de la clave. Esto es para evitar un posible desbordamiento de enteros que podría ocurrir al copiar la lista de dispersión de origen en un búfer lineal.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/x86/intel/lbr: Se corrige el error de acceso a MSR sin verificar en HSW. El fuzzer activa el siguiente seguimiento. [ 7763.384369] Error de acceso a MSR sin marcar: WRMSR a 0x689 (intentó escribir 0x1fffffff8101349e) en rIP: 0xffffffff810704a4 (native_write_msr+0x4/0x20) [ 7763.397420] Seguimiento de llamadas: [ 7763.399881] [ 7763.401994] intel_pmu_lbr_restore+0x9a/0x1f0 [ 7763.406363] intel_pmu_lbr_sched_task+0x91/0x1c0 [ 7763.410992] __perf_event_task_sched_in+0x1cd/0x240 Activado una máquina con el formato LBR LBR_FORMAT_EIP_FLAGS2, cuando el TSX está deshabilitado, se requiere una peculiaridad TSX para acceder al LBR desde los registros. Se introduce lbr_from_signext_quirk_needed() para determinar si se debe aplicar la peculiaridad TSX. Sin embargo, lbr_from_signext_quirk_needed() se invoca antes de intel_pmu_lbr_init(), que analiza la información del formato LBR. Sin la información correcta del formato LBR, la peculiaridad TSX nunca se aplicará. Mueva lbr_from_signext_quirk_needed() a intel_pmu_lbr_init(). Ya no es necesario comprobar x86_pmu.lbr_has_tsx en lbr_from_signext_quirk_needed(). Tanto LBR_FORMAT_EIP_FLAGS2 como LBR_FORMAT_INFO tienen el indicador LBR_TSX, pero solo LBR_FORMAT_EIP_FLAGS2 requiere esta característica. Actualice los comentarios en consecuencia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: qat - reparar pérdida de memoria en RSA Cuando se utiliza una clave RSA representada en formato 2 (como se define en PKCS #1 V2.1), algunos componentes de la clave privada persisten incluso después de que se libere el TFM. Reemplace las llamadas explícitas para liberar los búferes en qat_rsa_exit_tfm() con una llamada a qat_rsa_clear_ctx() que libera todos los búferes a los que se hace referencia en el contexto del TFM.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: No desreferenciar ops->destroy Una depuración de dispositivo KVM ocurre en cualquiera de dos devoluciones de llamada: 1) destroy() que se llama cuando se está destruyendo la VM; 2) release() que se llama cuando se cierra un fd de dispositivo. La mayoría de los dispositivos KVM usan 1) pero los dispositivos KVM del controlador de interrupciones de Book3s (XICS, XIVE, XIVE-native) usan 2) ya que necesitan cerrarse y volver a abrir durante la ejecución de la máquina. La gestión de errores en kvm_ioctl_create_device() asume que destroy() siempre está definido, lo que lleva a una desreferencia NULL como lo descubrió Syzkaller. Esto agrega verificaciones para destroy!=NULL y agrega un release() faltante. Esto no está cambiando kvm_destroy_devices() ya que los dispositivos con release() definido deberían haber sido eliminados de la lista de dispositivos KVM para entonces.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: spi: bcm2835: bcm2835_spi_handle_err(): corrige la desreferencia del puntero NULL para transferencias que no sean DMA En caso de que se agote el tiempo de espera de una transferencia basada en IRQ, se llama a la función bcm2835_spi_handle_err(). Desde el commit 1513ceee70f2 ("spi: bcm2835: Drop dma_pending flag") las transferencias DMA TX y RX se cancelan incondicionalmente, lo que lleva a desreferencias del puntero NULL si no se configuran ctlr->dma_tx o ctlr->dma_rx. Corrija la desreferencia del puntero NULL comprobando que ctlr->dma_tx y ctlr->dma_rx sean punteros válidos antes de acceder a ellos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gpio: gpio-xilinx: Se corrige el desbordamiento de enteros. La implementación actual no puede configurar más de 32 pines debido a un tipo de datos incorrecto. Por lo tanto, se realiza una conversión de tipos con unsigned long para evitarlo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: Se han corregido las ejecuciones de datos en torno a sysctl_tcp_max_reordering. Al leer sysctl_tcp_max_reordering, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a sus lectores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: Se corrigen las ejecuciones de datos en torno a sysctl_tcp_slow_start_after_idle. Al leer sysctl_tcp_slow_start_after_idle, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a sus lectores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: Se ha corregido una ejecución de datos en torno a sysctl_tcp_early_retrans. Al leer sysctl_tcp_early_retrans, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a su lector.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/mempolicy: fix uninit-value in mpol_rebind_policy() mpol_set_nodemask()(mm/mempolicy.c) does not set up nodemask when pol->mode is MPOL_LOCAL. Check pol->mode before access pol->w.cpuset_mems_allowed in mpol_rebind_policy()(mm/mempolicy.c). BUG: KMSAN: uninit-value in mpol_rebind_policy mm/mempolicy.c:352 [inline] BUG: KMSAN: uninit-value in mpol_rebind_task+0x2ac/0x2c0 mm/mempolicy.c:368 mpol_rebind_policy mm/mempolicy.c:352 [inline] mpol_rebind_task+0x2ac/0x2c0 mm/mempolicy.c:368 cpuset_change_task_nodemask kernel/cgroup/cpuset.c:1711 [inline] cpuset_attach+0x787/0x15e0 kernel/cgroup/cpuset.c:2278 cgroup_migrate_execute+0x1023/0x1d20 kernel/cgroup/cgroup.c:2515 cgroup_migrate kernel/cgroup/cgroup.c:2771 [inline] cgroup_attach_task+0x540/0x8b0 kernel/cgroup/cgroup.c:2804 __cgroup1_procs_write+0x5cc/0x7a0 kernel/cgroup/cgroup-v1.c:520 cgroup1_tasks_write+0x94/0xb0 kernel/cgroup/cgroup-v1.c:539 cgroup_file_write+0x4c2/0x9e0 kernel/cgroup/cgroup.c:3852 kernfs_fop_write_iter+0x66a/0x9f0 fs/kernfs/file.c:296 call_write_iter include/linux/fs.h:2162 [inline] new_sync_write fs/read_write.c:503 [inline] vfs_write+0x1318/0x2030 fs/read_write.c:590 ksys_write+0x28b/0x510 fs/read_write.c:643 __do_sys_write fs/read_write.c:655 [inline] __se_sys_write fs/read_write.c:652 [inline] __x64_sys_write+0xdb/0x120 fs/read_write.c:652 do_syscall_x64 arch/x86/entry/common.c:51 [inline] do_syscall_64+0x54/0xd0 arch/x86/entry/common.c:82 entry_SYSCALL_64_after_hwframe+0x44/0xae Uninit was created at: slab_post_alloc_hook mm/slab.h:524 [inline] slab_alloc_node mm/slub.c:3251 [inline] slab_alloc mm/slub.c:3259 [inline] kmem_cache_alloc+0x902/0x11c0 mm/slub.c:3264 mpol_new mm/mempolicy.c:293 [inline] do_set_mempolicy+0x421/0xb70 mm/mempolicy.c:853 kernel_set_mempolicy mm/mempolicy.c:1504 [inline] __do_sys_set_mempolicy mm/mempolicy.c:1510 [inline] __se_sys_set_mempolicy+0x44c/0xb60 mm/mempolicy.c:1507 __x64_sys_set_mempolicy+0xd8/0x110 mm/mempolicy.c:1507 do_syscall_x64 arch/x86/entry/common.c:51 [inline] do_syscall_64+0x54/0xd0 arch/x86/entry/common.c:82 entry_SYSCALL_64_after_hwframe+0x44/0xae KMSAN: uninit-value in mpol_rebind_task (2) https://syzkaller.appspot.com/bug?id=d6eb90f952c2a5de9ea718a1b873c55cb13b59dc This patch seems to fix below bug too. KMSAN: uninit-value in mpol_rebind_mm (2) https://syzkaller.appspot.com/bug?id=f2fecd0d7013f54ec4162f60743a2b28df40926b The uninit-value is pol->w.cpuset_mems_allowed in mpol_rebind_policy(). When syzkaller reproducer runs to the beginning of mpol_new(), mpol_new() mm/mempolicy.c do_mbind() mm/mempolicy.c kernel_mbind() mm/mempolicy.c `mode` is 1(MPOL_PREFERRED), nodes_empty(*nodes) is `true` and `flags` is 0. Then mode = MPOL_LOCAL; ... policy->mode = mode; policy->flags = flags; will be executed. So in mpol_set_nodemask(), mpol_set_nodemask() mm/mempolicy.c do_mbind() kernel_mbind() pol->mode is 4 (MPOL_LOCAL), that `nodemask` in `pol` is not initialized, which will be accessed in mpol_rebind_policy().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Se corrige la combinación de cegamiento jit y punteros a subprogramas bpf. La combinación de cegamiento jit y punteros a subprogramas bpf provoca: [ 36.989548] BUG: unable to handle page fault for address: 0000000100000001 [ 36.990342] #PF: supervisor instruction fetch in kernel mode [ 36.990968] #PF: error_code(0x0010) - not-present page [ 36.994859] RIP: 0010:0x100000001 [ 36.995209] Code: Unable to access opcode bytes at RIP 0xffffffd7. [ 37.004091] Call Trace: [ 37.004351] [ 37.004576] ? bpf_loop+0x4d/0x70 [ 37.004932] ? bpf_prog_3899083f75e4c5de_F+0xe3/0x13b La lógica de cegamiento de jit no reconoció que ld_imm64 con una dirección de subprograma bpf es una instrucción especial y procedió a aleatorizarla. Por sí sola no habría sido un problema, pero la lógica jit_subprogs() se basa en un proceso de dos pasos para realizar el JIT de todos los subprogramas y luego realizar el JIT nuevamente cuando se conocen las direcciones de todos los subprogramas. El proceso de cegamiento en la primera fase de JIT provocó que el segundo JIT no ajustara el ld_imm64 especial. Solucione este problema ignorando las instrucciones especiales ld_imm64 que no tienen constantes controladas por el usuario y que no deberían estar ocultas.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs/ntfs3: validar sectores_por_clústeres de BOOT Cuando el campo sectores_por_clústeres de BOOT de NTFS es > 0x80, representa un valor de desplazamiento. Asegúrese de que el valor de desplazamiento no sea demasiado grande antes de usarlo (el tamaño máximo del clúster de NTFS es 2 MB). Devuelva -EVINVAL si es demasiado grande. Esto evita valores de desplazamiento negativos y valores de desplazamiento que sean más grandes que el tamaño del campo. Previene este error de UBSAN: UBSAN: desplazamiento fuera de los límites en ../fs/ntfs3/super.c:673:16 el exponente de desplazamiento -192 es negativo