Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_sync: Se corrige la puesta en cola de comandos cuando HCI_UNREGISTER está configurado hci_cmd_sync_queue devolverá un error si se ha configurado el indicador HCI_UNREGISTER, ya que eso significa que se ha llamado a hci_unregister_dev, por lo que probablemente causará un uaf después del tiempo de espera, ya que se liberará el hdev.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/amdgpu/amdgpu_cs: se corrige la pérdida de recuento de referencias de un objeto dma_fence Este problema se produce en una ruta de error en amdgpu_cs_fence_to_handle_ioctl(). Cuando `info->in.what` cae en el caso predeterminado, la función simplemente devuelve -EINVAL, olvidando disminuir el recuento de referencias de un objeto dma_fence, que es aumentado anteriormente por amdgpu_cs_get_fence(). Esto puede provocar fugas de recuento de referencias. Arréglelo disminuyendo el recuento de referencias de un objeto específico antes de devolver el código de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: hisi_sas: Vectores IRQ libres para hardware v3 Si la sonda del controlador no solicita la IRQ del canal o la IRQ fatal, el controlador liberará los vectores IRQ antes de liberar las IRQ en free_irq(), y esto provocará un ERROR del kernel como este: ------------[ corte aquí ]------------ ¡ERROR del kernel en drivers/pci/msi.c:369! Error interno: Ups - ERROR: 0 [#1] PREEMPT Seguimiento de llamadas SMP: free_msi_irqs+0x118/0x13c pci_disable_msi+0xfc/0x120 pci_free_irq_vectors+0x24/0x3c hisi_sas_v3_probe+0x360/0x9d0 [hisi_sas_v3_hw] local_pci_probe+0x44/0xb0 work_for_cpu_fn+0x20/0x34 process_one_work+0x1d0/0x340 worker_thread+0x2e0/0x460 kthread+0x180/0x190 ret_from_fork+0x10/0x20 ---[ fin del seguimiento b88990335b610c11 ]--- Entonces Usamos devm_add_action() para controlar el orden en que liberamos los vectores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: pm8001: Se corrige la pérdida de memoria en pm8001_chip_fw_flash_update_req() En pm8001_chip_fw_flash_update_build(), si pm8001_chip_fw_flash_update_build() falla, la estructura fw_control_ex asignada debe liberarse.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: pm8001: Corregir pérdida de tareas en pm8001_send_abort_all() En pm8001_send_abort_all(), asegúrese de liberar la tarea sas asignada si pm8001_tag_alloc() o pm8001_mpi_build_cmd() fallan.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: pm8001: Se corrigen las fugas de etiquetas en caso de error En pm8001_chip_set_dev_state_req(), pm8001_chip_fw_flash_update_req(), pm80xx_chip_phy_ctl_req() y pm8001_chip_reg_dev_req(), se agregan las llamadas faltantes a pm8001_tag_free() para liberar la etiqueta asignada cuando falla pm8001_mpi_build_cmd(). De manera similar, en pm8001_exec_internal_task_abort(), si falla el método chip ->task_abort, se debe liberar la etiqueta asignada para la tarea de solicitud de cancelación. Agregue la llamada faltante a pm8001_tag_free().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dm ioctl: evitar un posible gadget de Spectre v1 Parece que cmd podría ser un gadget de Spectre v1, ya que lo proporciona un usuario y lo utiliza como índice de matriz. Evite que el contenido de la memoria del kernel se filtre al espacio de usuario mediante una ejecución especulativa utilizando array_index_nospec.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: Se corrige el error de vaciado de marcos causado por un bloqueo Vemos las siguientes advertencias: kernel: [25393.301506] ath11k_pci 0000:01:00.0: no se pudo vaciar la cola de transmisión mgmt 0 kernel: [25398.421509] ath11k_pci 0000:01:00.0: no se pudo vaciar la cola de transmisión mgmt 0 kernel: [25398.421831] ath11k_pci 0000:01:00.0: descartando marco mgmt para vdev 0, is_started 0 esto significa que ath11k no puede vaciar los marcos mgmt porque wmi_mgmt_tx_work no tiene posibilidad de ejecutarse en 5 segundos. Al establecer /proc/sys/kernel/hung_task_timeout_secs en 20 y aumentar ATH11K_FLUSH_TIMEOUT a 50 obtenemos las siguientes advertencias: kernel: [ 120.763160] INFO: tarea wpa_supplicant:924 bloqueada por más de 20 segundos. kernel: [ 120.763169] No contaminado 5.10.90 #12 kernel: [ 120.763177] "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" deshabilita este mensaje. kernel: [ 120.763186] tarea:wpa_supplicant estado:D pila: 0 pid: 924 ppid: 1 indicadores:0x000043a0 kernel: [ 120.763201] Seguimiento de llamadas: kernel: [ 120.763214] __schedule+0x785/0x12fa kernel: [ 120.763224] ? lockdep_hardirqs_on_prepare+0xe2/0x1bb kernel: [ 120.763242] schedule+0x7e/0xa1 kernel: [ 120.763253] schedule_timeout+0x98/0xfe kernel: [ 120.763266] ? run_local_timers+0x4a/0x4a kernel: [ 120.763291] ath11k_mac_flush_tx_complete+0x197/0x2b1 [ath11k 13c3a9bf37790f4ac8103b3decf7ab4008ac314a] kernel: [ 120.763306] ? init_wait_entry+0x2e/0x2e kernel: [ 120.763343] __ieee80211_flush_queues+0x167/0x21f [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763378] __ieee80211_recalc_idle+0x105/0x125 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763411] ieee80211_recalc_idle+0x14/0x27 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763441] ieee80211_free_chanctx+0x77/0xa2 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763473] __ieee80211_vif_release_channel+0x100/0x131 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763540] ieee80211_vif_release_channel+0x66/0x81 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763572] ieee80211_destroy_auth_data+0xa3/0xe6 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763612] ieee80211_mgd_deauth+0x178/0x29b [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763654] cfg80211_mlme_deauth+0x1a8/0x22c [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763697] nl80211_deauthenticate+0xfa/0x123 [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763715] genl_rcv_msg+0x392/0x3c2 kernel: [ 120.763750] ? nl80211_associate+0x432/0x432 [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763782] ? nl80211_associate+0x432/0x432 [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763802] ? genl_rcv+0x36/0x36 kernel: [ 120.763814] netlink_rcv_skb+0x89/0xf7 kernel: [ 120.763829] genl_rcv+0x28/0x36 kernel: [ 120.763840] netlink_unicast+0x179/0x24b kernel: [ 120.763854] netlink_sendmsg+0x393/0x401 kernel: [ 120.763872] sock_sendmsg+0x72/0x76 kernel: [ 120.763886] ____sys_sendmsg+0x170/0x1e6 kernel: [ 120.763897] ? copy_msghdr_from_user+0x7a/0xa2 kernel: [ 120.763914] ___sys_sendmsg+0x95/0xd1 kernel: [ 120.763940] __sys_sendmsg+0x85/0xbf kernel: [ 120.763956] do_syscall_64+0x43/0x55 kernel: [ 120.763966] entry_SYSCALL_64_after_hwframe+0x44/0xa9 kernel: [ 120.763977] RIP: 0033:0x79089f3fcc83 kernel: [ 120.763986] RSP: 002b:00007ffe604f0508 EFLAGS: 00000246 ORIG_RAX: 000000000000002e núcleo: [ 120.763997] RAX: ffffffffffffffda RBX: 000059b40e987690 RCX: 000079089f3fcc83 núcleo: [ 120.764006] RDX: 0000000000000000 RSI: 00007ffe604f0558 RDI: 0000000000000009 núcleo: [ 120.764014] RBP: 00007ffe604f0540 R08: 0000000000000004 R09: 0000000000400000 núcleo: [ 120.764023] R10: 00007ffe604f0638 R11: 0000000000000246 R12: 000059b40ea04980 núcleo: [ 120.764032] R13: 00007ffe604 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/mce: Workaround a una errata en instrucciones de copia rápida de cadenas Un escenario poco común de pánico del kernel puede ocurrir cuando se cumplen las siguientes condiciones debido a una errata en instrucciones de copia rápida de cadenas: 1) Un error sin corregir. 2) Ese error debe estar en la primera línea de caché de una página. 3) El kernel debe ejecutar page_copy desde la página inmediatamente anterior a esa página. Las instrucciones de copia rápida de cadenas ("REP; MOVS*") podrían consumir un error de memoria incorregible en la línea de caché _justo después_ de la región deseada para copiar y generar un MCE. El bit 0 de MSR_IA32_MISC_ENABLE se puede borrar para deshabilitar la copia rápida de cadenas y evitará tales verificaciones de máquina falsas. Sin embargo, eso es menos preferible debido al impacto permanente en el rendimiento. Teniendo en cuenta que el envenenamiento de memoria es poco común, es deseable mantener habilitada la copia rápida de cadenas hasta que se vea un MCE. Intel ha confirmado lo siguiente: 1. La errata de la CPU de la copia rápida de cadenas solo se aplica a las generaciones Skylake, Cascade Lake y Cooper Lake. Regresa directamente del controlador MCE: 2. Dará como resultado la ejecución completa de "REP; MOVS*" sin pérdida ni corrupción de datos. 3. No dará como resultado que se active otro MCE en la siguiente línea de caché envenenada debido a "REP; MOVS*". 4. Reanudará la ejecución desde un punto correcto en el código. 5. Dará como resultado que la misma instrucción que activó el MCE active un segundo MCE inmediatamente para cualquier otro error de obtención de datos recuperable por software. 6. No es seguro sin deshabilitar la copia rápida de cadenas, ya que la próxima copia rápida de cadenas del mismo búfer en la misma CPU daría como resultado un MCE de PANIC. Esto debería mitigar la errata por completo con la única salvedad de que la copia rápida de cadenas está deshabilitada en el hiperproceso afectado, por lo que se degrada el rendimiento. Esto es aún mejor que el bloqueo del sistema operativo en MCE generados en un proceso irrelevante debido a accesos "REP; MOVS*" en un contexto de kernel, por ejemplo, copy_page. Se inyectaron errores en la primera línea de caché de 8 páginas anónimas del proceso "proc1" y se observó el consumo de MCE de "proc2" sin pánico (devuelto directamente). Sin la solución, el host entró en pánico en unos pocos minutos en un proceso "proc2" aleatorio debido al acceso al kernel desde copy_page. [bp: Corregir el estilo de comentario + retoques, eliminar un Unlikely(), mejorar la legibilidad de la función Quirk.]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/sprd: se corrige la posible desreferenciación NULL 'drm' podría ser nulo en sprd_drm_shutdown, y drm_warn podría desreferenciarlo, elimine este registro de advertencia. v1 -> v2: - Dividir la verificación del valor de retorno de platform_get_resource() en un parche separado - Usar dev_warn() en lugar de eliminar el registro de advertencia

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: mpi3mr: Corrige pérdidas de memoria Corrige pérdidas de memoria relacionadas con los segmentos de memoria de la cola de respuesta operativa que no se liberan al descargar el controlador.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mips: ralink: corrige una pérdida de recuento de referencias en ill_acc_of_setup(). Se debe llamar a of_node_put(np) cuando pdev == NULL.