Vulnerabilidades

Una vulnerabilidad de inyección de plantilla del lado del cliente (CSTI) en el componente /project/new/scrum de Taiga v 8.6.1 permite a atacantes remotos ejecutar código arbitrario inyectando un payload malicioso dentro de los nuevos detalles del proyecto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvme: operación sincrónica de mantenimiento de conexión La operación de mantenimiento de conexión de nvme, que se ejecuta a intervalos periódicos, podría colarse mientras se apaga un controlador de red. Esto puede generar una ejecución entre la ruta del código de destrucción de la cola de administración del controlador de red (invocada mientras se apaga el controlador) y el despachador de cola hw/hctx llamado desde la operación de puesta en cola de solicitudes asincrónicas de mantenimiento de conexión de nvme. Esta ejecución podría provocar el bloqueo del kernel que se muestra a continuación: Rastreo de llamada: autoremove_wake_function+0x0/0xbc (no confiable) __blk_mq_sched_dispatch_requests+0x114/0x24c blk_mq_sched_dispatch_requests+0x44/0x84 blk_mq_run_hw_queue+0x140/0x220 nvme_keep_alive_work+0xc8/0x19c [nvme_core] process_one_work+0x200/0x4e0 worker_thread+0x340/0x504 kthread+0x138/0x140 start_kernel_thread+0x14/0x18 Al apagar el controlador de estructura, si la solicitud de mantenimiento de conexión de nvme se cuela, se eliminará. Luego se invoca la función nvme_keep_alive_end_io para manejar el final de la operación keep-alive que disminuye el admin->q_usage_counter y, asumiendo que esta es la última/única solicitud en la cola de administración, entonces el admin->q_usage_counter se convierte en cero. Si eso sucede, entonces la operación de destrucción de cola blk-mq (blk_mq_destroy_queue()) que podría estar ejecutándose simultáneamente en otra CPU (ya que esta es la ruta del código de apagado del controlador) reenviaría el progreso y eliminaría la cola de administración. Entonces, ahora a partir de este punto en adelante no se supone que accedamos a los recursos de la cola de administración. Sin embargo, el problema aquí es que el hilo de keep-alive de nvme que ejecuta la operación de despacho de cola hw/hctx aún no ha terminado su trabajo y, por lo tanto, aún podría acceder potencialmente al recurso de la cola de administración mientras que la cola de administración ya se había eliminado y eso causa el bloqueo anterior. Esta corrección ayuda a evitar el bloqueo observado al implementar keep-alive como una operación sincrónica de modo que disminuyamos admin->q_usage_counter solo después de que el comando keep-alive finalice su ejecución y devuelva el estado del comando a su llamador (blk_execute_rq()). Esto garantizaría que la ruta del código de apagado de la estructura no destruya la cola de administración de la estructura hasta que la solicitud keep-alive finalice la ejecución y también que el subproceso keep-alive no esté ejecutando la operación de despacho de cola hw/hctx.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs: Se soluciona el problema de los valores no inicializados en from_kuid y from_kgid ocfs2_setattr() utiliza attr->ia_mode, attr->ia_uid y attr->ia_gid en un punto de seguimiento aunque ATTR_MODE, ATTR_UID y ATTR_GID no estén configurados. Inicializa todos los campos de newattrs para evitar variables no inicializadas, comprobando si ATTR_MODE, ATTR_UID, ATTR_GID están inicializados, de lo contrario, 0.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe/ufence: Prefetch ufence addr para capturar direcciones falsas. access_ok() solo verifica el desbordamiento de direcciones, por lo que también intenta leer la dirección para capturar direcciones no válidas enviadas desde el espacio de usuario. (seleccionado de el commit 9408c4508483ffc60811e910a93d6425b8e63928)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: comprobar la validez de link->type en bpf_link_show_fdinfo() Si un tipo de enlace recién añadido no invoca BPF_LINK_TYPE(), acceder a bpf_link_type_strs[link->type] puede dar como resultado un acceso fuera de los límites. Para detectar dichas invocaciones fallidas de forma temprana en el futuro, se debe comprobar la validez de link->type en bpf_link_show_fdinfo() y emitir una advertencia cuando se omiten dichas invocaciones.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvme: tcp: evitar la ejecución entre el bloqueo de queue_lock y la destrucción. El commit 76d54bf20cdc ("nvme-tcp: no acceder al socket liberado durante la recuperación de errores") agregó una llamada mutex_lock() para queue->queue_lock en nvme_tcp_get_address(). Sin embargo, mutex_lock() compite con mutex_destroy() en nvme_tcp_free_queue() y provoca la siguiente ADVERTENCIA. DEBUG_LOCKS_WARN_ON(bloqueo->mágico != bloqueo) ADVERTENCIA: CPU: 3 PID: 34077 en kernel/locking/mutex.c:587 __mutex_lock+0xcf0/0x1220 Módulos vinculados en: nvmet_tcp nvmet nvme_tcp nvme_fabrics iw_cm ib_cm ib_core pktcdvd nft_fib_inet nft_fib_ipv4 nft_fib_ipv6 nft_fib nft_reject_inet nf_reject_ipv4 nf_reject_ipv6 nft_reject nft_ct nft_chain_nat nf_nat nf_conntrack nf_defrag_ipv6 nf_defrag_ipv4 ip_set nf_tables qrtr sunrpc ppdev 9pnet_virtio 9pnet pcspkr netfs parport_pc parport e1000 i2c_piix4 i2c_smbus bucle fusible nfnetlink zram bochs drm_vram_helper drm_ttm_helper ttm drm_kms_helper xfs drm sym53c8xx disquete nvme scsi_transport_spi nvme_core nvme_auth serio_raw ata_generic pata_acpi dm_multipath qemu_fw_cfg [última descarga: ib_uverbs] CPU: 3 UID: 0 PID: 34077 Comm: udisksd No contaminado 6.11.0-rc7 #319 Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS 1.16.3-2.fc40 01/04/2014 RIP: 0010:__mutex_lock+0xcf0/0x1220 Código: 08 84 d2 0f 85 c8 04 00 00 8b 15 ef b6 c8 01 85 d2 0f 85 78 f4 ff ff 48 c7 c6 20 93 ee af 48 c7 c7 60 91 ee af e8 f0 a7 6d fd <0f> 0b e9 5e f4 ff ff 48 b8 00 00 00 00 00 fc ff df 4c 89 f2 48 c1 RSP: 0018:ffff88811305f760 EFLAGS: 00010286 RAX: 0000000000000000 RBX: ffff88812c652058 RCX: 0000000000000000 RDX: 0000000000000000 RSI: 0000000000000004 RDI: 0000000000000001 RBP: ffff88811305f8b0 R08: 0000000000000001 R09: ffffed1075c36341 R10: ffff8883ae1b1a0b R11: 0000000000010498 R12: 0000000000000000 R13: 0000000000000000 R14: dffffc0000000000 R15: ffff88812c652058 FS: 00007f9713ae4980(0000) GS:ffff8883ae180000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fcd78483c7c CR3: 0000000122c38000 CR4: 00000000000006f0 DR0: 0000000000000000 DR1: 00000000000000000 DR2: 00000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: ? __warn.cold+0x5b/0x1af ? __mutex_lock+0xcf0/0x1220 ? report_bug+0x1ec/0x390 ? handle_bug+0x3c/0x80 ? exc_invalid_op+0x13/0x40 ? asm_exc_invalid_op+0x16/0x20 ? __mutex_lock+0xcf0/0x1220 ? __pfx___mutex_lock+0x10/0x10 ? __lock_acquire+0xd6a/0x59e0 ? nvme_tcp_get_address+0xc2/0x1e0 [nvme_tcp] nvme_tcp_get_address+0xc2/0x1e0 [nvme_tcp] ? __pfx_nvme_tcp_get_address+0x10/0x10 [nvme_tcp] nvme_sysfs_show_address+0x81/0xc0 [nvme_core] dev_attr_show+0x42/0x80 ? __asan_memset+0x1f/0x40 sysfs_kf_seq_show+0x1f0/0x370 seq_read_iter+0x2cb/0x1130 ? rw_verify_area+0x3b1/0x590 ? __mutex_lock+0x433/0x1220 vfs_read+0x6a6/0xa20 ? lockdep_hardirqs_on+0x78/0x100 ? __pfx_vfs_read+0x10/0x10 ksys_read+0xf7/0x1d0 ? __pfx_ksys_read+0x10/0x10 ? __pfx_ksys_read+0x10/0x10 ? lockdep_hardirqs_on_prepare+0x16d/0x400 ? lockdep_hardirqs_on_prepare+0x16d/0x400 ? hacer_syscall_64+0x9f/0x180 ? bloquear_hardirqs_en_preparar+0x16d/0x400 ? hacer_syscall_64+0x9f/0x180 ? bloquear_hardirqs_en+0x78/0x100 ? hacer_syscall_64+0x9f/0x180 ? bloquear_hardirqs_en_preparar+0x16d/0x400 ? hacer_syscall_64+0x9f/0x180 ? bloquear_hardirqs_en+0x78/0x100 ? hacer_syscall_64+0x9f/0x180 ? bloquear_hardirqs_en_preparar+0x16d/0x400 ? do_syscall_64+0x9f/0x180 ? lockdep_hardirqs_on+0x78/0x100 ? do_syscall_64+0x9f/0x180 ? do_syscall_64+0x9f/0x180 entry_SYSCALL_64_after_hwframe+0x76/0x7e RIP: 0033:0x7f9713f55cfa Código: 55 48 89 e5 48 83 ec 20 48 89 55 e8 48 89 75 f0 89 7d f8 e8 e8 74 f8 ff 48 8b 55 e8 48 8b 75 f0 4 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: resolver el comportamiento defectuoso de la ruta de error mmap_region() La función mmap_region() es algo aterradora, con un flujo de control tipo espagueti y numerosos medios por los cuales pueden surgir problemas y pueden ocurrir estados incompletos, fugas de memoria y otras cosas desagradables. Una gran parte de la complejidad surge de intentar manejar errores tarde en el proceso de mapeo de un VMA, que forma la base de los problemas observados recientemente con fugas de recursos y estado inconsistente observable. Aprovechando los parches anteriores de esta serie, movemos una serie de verificaciones antes en el código, simplificando las cosas al mover el núcleo de la lógica a una función interna estática __mmap_region(). Hacer esto nos permite realizar una serie de verificaciones por adelantado antes de hacer cualquier trabajo real, y nos permite desenrollar la verificación de desasignación escribible incondicionalmente según sea necesario y realizar una validación CONFIG_DEBUG_VM_MAPLE_TREE incondicionalmente también. Aquí movemos una serie de cosas: 1. Preasignamos memoria para el iterador antes de llamar al gancho de memoria respaldado por archivo, lo que nos permite salir antes y evitar tener que realizar una lógica de cierre/liberación complicada y propensa a errores. Liberamos cuidadosamente el estado del iterador tanto en las rutas de éxito como de error. 2. La función mmap_region() que lo encierra maneja la lógica mapping_map_writable() de forma temprana. Anteriormente, la lógica tenía mapping_map_writable() en el punto de mapeo de un VMA respaldado por archivo recientemente asignado y un mapping_unmap_writable() coincidente en las rutas de éxito y error. Ahora hacemos esto incondicionalmente si se trata de un mapeo compartido escribible respaldado por archivo. Sin embargo, si un controlador cambia los indicadores para eliminar VM_MAYWRITE, al hacerlo no invalida la verificación de sello que acabamos de realizar y, en cualquier caso, siempre decrementamos el contador en el contenedor. Realizamos una aserción de depuración para asegurarnos de que un controlador no intente hacer lo contrario. 3. También trasladamos arch_validate_flags() a la función mmap_region(). Esto solo es relevante en arm64 y sparc64, y la comprobación solo es significativa para SPARC con ADI habilitado. Agregamos explícitamente una advertencia para esta arquitectura si un controlador invalida esta comprobación, aunque el código debería corregirse eventualmente para eliminar la necesidad de esto. Con todas estas medidas implementadas, ya no necesitamos cerrar explícitamente el VMA en las rutas de error, ya que colocamos todas las comprobaciones que podrían fallar antes de una llamada a cualquier gancho mmap del controlador. Esto elimina una clase completa de errores, hace que el código sea más fácil de razonar y más robusto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: krealloc: corrige la falsa alarma de MTE en __do_krealloc Este parche soluciona un problema introducido por el commit 1a83a716ec233 ("mm: krealloc: considere la memoria de repuesto para __GFP_ZERO") que hace que MTE (extensión de etiquetado de memoria) informe falsamente un error de losa fuera de los límites. El problema ocurre al poner a cero la memoria de repuesto en __do_krealloc. El código original solo consideraba KASAN basado en software y no tenía en cuenta MTE. No restablece la etiqueta KASAN antes de llamar a memset, lo que lleva a una falta de coincidencia entre la etiqueta del puntero y la etiqueta de memoria, lo que resulta en un falso positivo. Ejemplo del error: ================================================================== swapper/0: ERROR: KASAN: slab fuera de los límites en __memset+0x84/0x188 swapper/0: Escritura en la dirección f4ffff8005f0fdf0 por la tarea swapper/0/1 swapper/0: Etiqueta de puntero: [f4], etiqueta de memoria: [fe] swapper/0: swapper/0: CPU: 4 UID: 0 PID: 1 Comm: swapper/0 No contaminado 6.12. swapper/0: Nombre del hardware: MT6991(ENG) (DT) swapper/0: Rastreo de llamadas: swapper/0: dump_backtrace+0xfc/0x17c swapper/0: show_stack+0x18/0x28 swapper/0: dump_stack_lvl+0x40/0xa0 swapper/0: print_report+0x1b8/0x71c swapper/0: kasan_report+0xec/0x14c swapper/0: __do_kernel_fault+0x60/0x29c swapper/0: do_bad_area+0x30/0xdc swapper/0: do_tag_check_fault+0x20/0x34 swapper/0: do_mem_abort+0x58/0x104 swapper/0: el1_abort+0x3c/0x5c intercambiador/0: el1h_64_sync_handler+0x80/0xcc intercambiador/0: el1h_64_sync+0x68/0x6c intercambiador/0: __memset+0x84/0x188 intercambiador/0: btf_populate_kfunc_set+0x280/0x3d8 intercambiador/0: __register_btf_kfunc_id_set+0x43c/0x468 intercambiador/0: register_btf_kfunc_id_set+0x48/0x60 intercambiador/0: register_nf_nat_bpf+0x1c/0x40 intercambiador/0: nf_nat_init+0xc0/0x128 intercambiador/0: do_one_initcall+0x184/0x464 intercambiador/0: do_initcall_level+0xdc/0x1b0 intercambiador/0: do_initcalls+0x70/0xc0 intercambiador/0: do_basic_setup+0x1c/0x28 intercambiador/0: kernel_init_freeable+0x144/0x1b8 intercambiador/0: kernel_init+0x20/0x1a8 intercambiador/0: ret_from_fork+0x10/0x20 ====================================================================

Una vulnerabilidad de redirección abierta en Taiga v6.8.1 permite a los atacantes redirigir a los usuarios a sitios web arbitrarios mediante la adición de un enlace manipulado a /login?next= en la URL de la página de inicio de sesión.

Un control de acceso incorrecto en Adapt Learning Adapt Authoring Tool <= 0.11.3 permite a los atacantes con roles de usuario autenticado obtener direcciones de correo electrónico a través de la función "Obtener usuarios". La vulnerabilidad se produce debido a una falla en la lógica de verificación de permisos, donde el carácter comodín en las URL permitidas otorga acceso no deseado a endpoints restringidos a usuarios con roles de superadministrador. Esto hace posible que los atacantes revelen las direcciones de correo electrónico de todos los usuarios.

Una vulnerabilidad de inyección NoSQL en Adapt Learning Adapt Authoring Tool <= 0.11.3 permite a atacantes no autenticados restablecer las contraseñas de cuentas de usuario y administrador a través de la función "Restablecer contraseña". La vulnerabilidad se produce debido a una validación insuficiente de la entrada del usuario, que se utiliza como consulta en la función find() de Mongoose. Esto permite a los atacantes realizar una toma de control total de la cuenta de administrador. Los atacantes pueden utilizar los privilegios administrativos recién obtenidos para cargar un complemento personalizado para realizar la ejecución remota de código (RCE) en el servidor que aloja la aplicación web.

Autolab es un servicio de gestión de cursos que permite la calificación automática de tareas de programación. A partir de la versión 3.0.0 de Autolab, los estudiantes pueden descargar todas las tareas de otro estudiante, siempre que hayan iniciado sesión, mediante la función download_all_submissions. Esto puede permitir la filtración de entregas a usuarios no autorizados, como la descarga de entregas de otros estudiantes de la clase o incluso entregas de exámenes de instructores, siempre que conozcan sus ID de usuario. Este problema se ha corregido en el commit `1aa4c769`, que aún no está en una versión de lanzamiento, pero se espera que se incluya en la versión 3.0.3. Se recomienda a los usuarios que apliquen el parche manualmente o que esperen a la versión 3.0.3. Como workaround, los administradores pueden desactivar la función.