Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: null_blk: corrige la validación del tamaño del bloque. El tamaño del bloque debe estar entre 512 y PAGE_SIZE y ser una potencia de 2. La verificación actual no valida esto, así que actualice la verificación. Sin este parche, null_blk tendría un error debido a la eliminación del puntero nulo cuando se carga con bs=1536 [1]. [axboe: elimine las llaves innecesarias y la comprobación != 0]

En el kernel de Linux se ha solucionado la siguiente vulnerabilidad: btrfs:qgroup: arregla fuga de cuota raíz tras fallo de desactivación de cuota Si durante la desactivación de cuota fallamos al limpiar el árbol de cuotas o al borrar el root del árbol raíz, saltamos al etiqueta 'out' sin eliminar la referencia en la raíz de la cuota, lo que resulta en una pérdida de la raíz ya que fs_info->quota_root ya no apunta a la raíz (la hemos configurado en NULL justo antes de esos pasos). Solucione este problema realizando siempre una llamada btrfs_put_root() bajo la etiqueta 'out'. Este es un problema que existe desde que qgroups se agregaron por primera vez en 2012 mediante el compromiso bed92eae26cc ("Btrfs: implementación y prototipos de qgroup"), pero en aquel entonces nos perdimos un kfree en la cuota raíz y llamadas free_extent_buffer() en su raíz y en los nodos raíz de confirmación. , ya que en aquel entonces las raíces aún no se contaban como referencia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvmet: inicializar siempre cqe.result La especificación no exige que las dos primeras palabras dobles (también conocidas como resultados) para la entrada de la cola de comandos deban establecerse en 0 cuando no lo están usado (no especificado). Sin embargo, la implementación de destino devuelve 0 para TCP y FC, pero no para RDMA. Hagamos que RDMA se comporte igual y así inicialicemos explícitamente el campo de resultado. Esto evita la fuga de datos de la pila.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: io_uring: soluciona posible punto muerto en io_register_iowq_max_workers() La función io_register_iowq_max_workers() llama a io_put_sq_data(), que adquiere el sqd->lock sin liberar uring_lock. De manera similar a la confirmación 009ad9f0c6ee ("io_uring: drop ctx->uring_lock before adquiring sqd->lock"), esto puede conducir a una posible situación de punto muerto. Para resolver este problema, uring_lock se libera antes de llamar a io_put_sq_data() y luego se vuelve a adquirir después de la llamada a la función. Este cambio garantiza que los bloqueos se adquieran en el orden correcto, evitando la posibilidad de un punto muerto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ila: bloquear BH en ila_output() Como se explica en la confirmación 1378817486d6 ("tipc: bloquear BH antes de usar dst_cache"), los ayudantes net/core/dst_cache.c deben llamarse con BH desactivado. ila_output() se llama desde lwtunnel_output() posiblemente desde el contexto del proceso y bajo rcu_read_lock(). Podríamos ser interrumpidos por un softirq, volver a ingresar a ila_output() y dañar las estructuras de datos dst_cache. Arregle la carrera usando local_bh_disable().

Twisted es un framework basado en eventos para aplicaciones de Internet, compatible con Python 3.6+. El servidor HTTP 1.0 y 1.1 proporcionado por twisted.web podría procesar solicitudes HTTP canalizadas desordenadas, lo que posiblemente resulte en la divulgación de información. Esta vulnerabilidad se soluciona en 24.7.0rc1.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvme: evitar payload de double free especial Si es necesario volver a intentar una solicitud de descarte y ese reintento puede fallar antes de agregar un nuevo payload especial, se producirá un double free. Borre RQF_SPECIAL_LOAD cuando se limpie la solicitud.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: Scrub: maneja correctamente el error de búsqueda RST [ERROR] Al ejecutar btrfs/060 con la función RST forzada, bloquearía el siguiente ASSERT() dentro de Scrub_read_endio(): ASSERT(sector_nr < raya->nr_sectors); Antes de eso, tendríamos un volcado de árbol de btrfs_get_raid_extent_offset(), ya que no pudimos encontrar la entrada RST para el rango. [CAUSA] Dentro de Scrub_submit_extent_sector_read() cada vez que asignamos un nuevo bbio llamamos inmediatamente a btrfs_map_block() para asegurarnos de que hubiera algún rango RST que cubriera el objetivo de limpieza. Pero si btrfs_map_block()fallo, inmediatamente llamamos a endio para el bbio, mientras el bbio está recién asignado, está completamente vacío. Luego, dentro de Scrub_read_endio(), revisamos los bvecs para encontrar el número del sector (ya que bi_sector ya no es confiable si la biografía se envía a capas inferiores). Y dado que la biografía está vacía, dicha iteración de bvecs no encontraría ningún sector que coincida con el sector y devolvería sector_nr == stripe->nr_sectors, lo que activaría ASSERT(). [FIX] En lugar de llamar a btrfs_map_block() después de asignar un nuevo bbio, llame primero a btrfs_map_block(). Dado que nuestro único objetivo al llamar a btrfs_map_block() es solo actualizar stripe_len, realmente no hay necesidad de hacerlo después de btrfs_alloc_bio(). Este nuevo tiempo evitaría por completo el problema de manejar bbio vacío y, de hecho, soluciona una posible ventana de ejecuciónpara el código anterior, donde si el hilo de envío es el único propietario de pendiente_io, la limpieza nunca terminaría (ya que no lo hicimos). disminuir el contador pendiente_io). Aunque aún es necesario abordar la causa raíz del error de búsqueda de RST.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: evitar cálculos de direcciones mediante indexación de matriz fuera de los límites. Se debe configurar req->n_channels antes de poder usar req->channels[]. Este parche soluciona uno de los problemas encontrados en [1]. [83.964255] UBSAN: índice de matriz fuera de los límites en net/mac80211/scan.c:364:4 [83.964258] el índice 0 está fuera de rango para el tipo 'struct ieee80211_channel *[]' [...] [ 83.964264] Seguimiento de llamadas: [ 83.964267] [ 83.964269] dump_stack_lvl+0x3f/0xc0 [ 83.964274] __ubsan_handle_out_of_bounds+0xec/0x110 [ 83.964278] escaneo+0x2db/0x4b0 [ 83.964281] __ieee80211_start_scan+0x601/0x990 [ 83.964291] nl80211_trigger_scan+0x874/ 0x980 [83.964295] genl_family_rcv_msg_doit+0xe8/0x160 [83.964298] genl_rcv_msg+0x240/0x270 [...] [1] https://bugzilla.kernel.org/show_bug.cgi?id=218810

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/radeon: verifique que bo_va->bo no sea NULL antes de usarlo. La llamada a radeon_vm_clear_freed podría borrar bo_va->bo, por lo que debemos verificarlo antes de eliminar la referencia.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: bluetooth/l2cap: sync sock recv cb and release El problema ocurre entre la llamada al sistema para cerrar el calcetín y hci_rx_work, donde el primero libera el calcetín y el segundo accede a él sin protección de bloqueo. . CPU0 CPU1 ---- ---- sock_close hci_rx_work l2cap_sock_release hci_acldata_packet l2cap_sock_kill l2cap_recv_frame sk_free l2cap_conless_channel l2cap_sock_recv_cb Si hci_rx_work procesa los datos que deben recibirse antes de cerrar el sock, entonces todo es normal; De lo contrario, el hilo de trabajo puede acceder al sock liberado al recibir datos. Agregue un mutex chan en la devolución de llamada rx del sock para lograr la sincronización entre la liberación del sock y recv cb. Sock está muerto, así que configure los datos de chan en NULL, evite que otros usen un puntero de sock no válido.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_core: cancelar todos los trabajos en hci_unregister_dev() syzbot informa que llamar a hci_release_dev() desde hci_error_reset() debido a hci_dev_put() desde hci_error_reset() puede causar un punto muerto en destroy_workqueue( ), porque hci_error_reset() se llama desde hdev->req_workqueue y destroy_workqueue() necesita vaciarse. Necesitamos asegurarnos de que hdev->{rx_work,cmd_work,tx_work} que están en cola en hdev->workqueue y hdev->{power_on,error_reset} que están en cola en hdev->req_workqueue ya no se estén ejecutando en el momento destroy_workqueue( hdev->cola de trabajo); destroy_workqueue(hdev->req_workqueue); se llaman desde hci_release_dev(). Llame a cancel_work_sync() en estos elementos de trabajo desde hci_unregister_dev() tan pronto como se elimine hdev->list de hci_dev_list.