Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfp: flower: corrige una fuga potencial en nfp_tunnel_add_shared_mac() ida_simple_get() devuelve una identificación entre min (0) y max (NFP_MAX_MAC_INDEX) incluida. Entonces NFP_MAX_MAC_INDEX (0xff) es una identificación válida. Para que la ruta de manejo de errores funcione correctamente, el valor 'no válido' para 'ida_idx' no debe estar en el rango 0..NFP_MAX_MAC_INDEX, incluida. Así que configúrelo en -1.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_tables: anular el registro de los ganchos de la tabla de flujo en la salida de netns. Anular el registro de los ganchos de la tabla de flujo antes de que se publiquen a través de nf_tables_flowtable_destroy(); de lo contrario, enganche los informes centrales UAF. ERROR: KASAN: use-after-free en nf_hook_entries_grow+0x5a7/0x700 net/netfilter/core.c:142 net/netfilter/core.c:142 Lectura de tamaño 4 en la dirección ffff8880736f7438 por la tarea syz-executor579/3666 CPU: 0 PID: 3666 Comm: syz-executor579 Not tainted 5.16.0-rc5-syzkaller #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 Seguimiento de llamadas: __dump_stack lib/dump_stack.c :88 [en línea] __dump_stack lib/dump_stack.c:88 [en línea] lib/dump_stack.c:106 dump_stack_lvl+0x1dc/0x2d8 lib/dump_stack.c:106 lib/dump_stack.c:106 print_address_description+0x65/0x380 mm/kasan /report.c:247 mm/kasan/report.c:247 __kasan_report mm/kasan/report.c:433 [en línea] __kasan_report mm/kasan/report.c:433 [en línea] mm/kasan/report.c:450 kasan_report+0x19a/0x1f0 mm/kasan/report.c:450 mm/kasan/report.c:450 nf_hook_entries_grow+0x5a7/0x700 net/netfilter/core.c:142 net/netfilter/core.c:142 __nf_register_net_hook+0x27e/ 0x8d0 net/netfilter/core.c:429 net/netfilter/core.c:429 nf_register_net_hook+0xaa/0x180 net/netfilter/core.c:571 net/netfilter/core.c:571 nft_register_flowtable_net_hooks+0x3c5/0x730 net/netfilter /nf_tables_api.c:7232 net/netfilter/nf_tables_api.c:7232 nf_tables_newflowtable+0x2022/0x2cf0 net/netfilter/nf_tables_api.c:7430 net/netfilter/nf_tables_api.c:7430 nfnetlink_rcv_batch net/netfilter/nfnetlink .c:513 [en línea ] nfnetlink_rcv_skb_batch net/netfilter/nfnetlink.c:634 [en línea] nfnetlink_rcv_batch net/netfilter/nfnetlink.c:513 [en línea] net/netfilter/nfnetlink.c:652 nfnetlink_rcv_skb_batch net/netfilter/nfnetlink.c:634 [en línea] neto /netfilter/nfnetlink.c:652 nfnetlink_rcv+0x10e6/0x2550 net/netfilter/nfnetlink.c:652 net/netfilter/nfnetlink.c:652 __nft_release_hook() llama a nft_unregister_flowtable_net_hooks() que solo cancela el registro de los ganchos, luego, después del período de gracia de RCU, se garantiza que ningún paquete agregue nuevas entradas a la tabla de flujo (no se puede acceder a reglas de descarga de flujo ni a enlaces de tabla de flujo desde la ruta del paquete), por lo que es seguro llamar a nf_flow_table_free() que limpia las entradas restantes de la tabla de flujo (tanto de software como de hardware) y desvincula flow_block.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: gso: no omita el encabezado de IP externo en caso de ipip y net_failover. Nos encontramos con un problema de caída de TCP en nuestro entorno de nube. El paquete GROed en el host se reenvía a una NIC virtio_net de VM con net_failover habilitado. VM actúa como IPVS LB con encapsulación ipip. La ruta completa como: host gro -> vm virtio_net rx -> net_failover rx -> ipvs fullnat -> ipip encap -> net_failover tx -> virtio_net tx Cuando net_failover transmite un paquete ipip (gso_type = 0x0103, que significa SKB_GSO_TCPV4, SKB_GSO_DODGY y SKB_GSO_IPXIP 4 ), no existe gso porque admite TSO y GSO_IPXIP4. Pero network_header apunta al encabezado IP interno. Seguimiento de llamadas: tcp4_gso_segment ------> return NULL inet_gso_segment ------> iph interno, network_header apunta a ipip_gso_segment inet_gso_segment ------> iph externo skb_mac_gso_segment Luego, virtio_net transmite el paquete, solo se muestra el encabezado de IP interno modificado. Y el exterior simplemente se mantiene sin cambios. El paquete se colocará en el host remoto. Seguimiento de llamadas: inet_gso_segment ------> iph interno, se omite el iph externo skb_mac_gso_segment __skb_gso_segment validar_xmit_skb validar_xmit_skb_list sch_direct_xmit __qdisc_run __dev_queue_xmit ------> virtio_net dev_hard_start_xmit __dev_queue_xmit --- ---> net_failover ip_finish_output2 ip_output iptunnel_xmit ip_tunnel_xmit ipip_tunnel_xmit -- ----> ipip dev_hard_start_xmit __dev_queue_xmit ip_finish_output2 ip_output ip_forward ip_rcv __netif_receive_skb_one_core netif_receive_skb_internal napi_gro_receiveceived_buf virtnet_poll net_rx_action La causa raíz de este problema es específica de la rara combinación de SKB_GSO_DODGY y un dispositivo de túnel que agrega una opción de túnel SKB_GSO_. SKB_GSO_DODGY se configura desde virtio_net externo. Necesitamos restablecer el encabezado de la red cuando callbacks.gso_segment() devuelve NULL. Este parche también incluye ipv6_gso_segment(), considerando SIT, etc.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: usb: gadget: rndis: agregar spinlock para la lista de respuestas de rndis No hay bloqueo para la lista de respuestas de rndis. Podría causar corrupción en la lista si hay dos list_add diferentes al mismo tiempo, como se muestra a continuación. Es mejor agregar rndis_add_response / rndis_free_response / rndis_get_next_response para evitar cualquier condición de ejecución en la lista de respuestas. [ 361.894299] [1: irq/191-dwc3:16979] list_add corrupción. siguiente->anterior debería ser anterior (ffffff80651764d0), pero era ffffff883dc36f80. (siguiente=ffffff80651764d0). [ 361.904380] [1: irq/191-dwc3:16979] Rastreo de llamadas: [ 361.904391] [1: irq/191-dwc3:16979] __list_add_valid+0x74/0x90 [ 361.904401] [1: irq/191-dwc3:16979 ] rndis_msg_parser+0x168/0x8c0 [ 361.904409] [1: irq/191-dwc3:16979] rndis_command_complete+0x24/0x84 [ 361.904417] [1: irq/191-dwc3:16979] misión+0x20/0xe4 [ 361.904426] [1: irq /191-dwc3:16979] dwc3_gadget_giveback+0x44/0x60 [ 361.904434] [1: irq/191-dwc3:16979] dwc3_ep0_complete_data+0x1e8/0x3a0 [ 361.904442] [1: 16979] dwc3_ep0_interrupt+0x29c/0x3dc [ 361.904450] [1: irq/191-dwc3:16979] dwc3_process_event_entry+0x78/0x6cc [ 361.904457] [1: irq/191-dwc3:16979] dwc3_process_event_buf+0xa0/0x1ec [ 361.904465 ] [1: irq/191-dwc3: 16979] dwc3_thread_interrupt+0x34/0x5c

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: adc: tsc2046: corrige la corrupción de la memoria evitando el desbordamiento de la matriz. Por un lado tenemos indio_dev->num_channels incluye todos los canales físicos + canal de marca de tiempo. Del otro lado tenemos un array asignado sólo para canales físicos. Por lo tanto, corrija la corrupción de la memoria con ARRAY_SIZE() en lugar de la variable num_channels. Tenga en cuenta que el primer caso es una limpieza en lugar de una solución, ya que el núcleo IIO nunca establece el bit del canal de marca de tiempo del software en active_scanmask.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: adc: men_z188_adc: corrige una fuga de recursos en una ruta de manejo de errores. Si iio_device_register() falla, un ioremap() anterior queda desequilibrado. Actualice la ruta de manejo de errores y agregue la llamada iounmap() que falta, como ya se hizo en la función de eliminación.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: bpf: Se corrigió el bloqueo debido al acceso fuera de los límites a reg2btf_ids. Cuando el commit e6ac2450d6de ("bpf: admite la función del kernel que llama al programa bpf") agregó soporte para kfunc, definió reg2btf_ids como una forma económica de traducir el tipo de registro del verificador al ID de BTF btf_vmlinux apropiado; sin embargo, commit c25b2ae13603 ("bpf: reemplace PTR_TO_XXX_OR_NULL con PTR_TO_XXX | PTR_MAYBE_NULL") movió __BPF_REG_TYPE_MAX del último miembro de la enumeración bpf_reg_type a después de los tipos de registro base y definió otras variantes utilizando la composición de indicadores de tipo. Sin embargo, ahora, el uso directo de reg->type para indexar en reg2btf_ids ya no puede caer en el rango __BPF_REG_TYPE_MAX y, por lo tanto, provocar un acceso fuera de los límites y un bloqueo del kernel al desreferenciar un puntero incorrecto.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: RDMA/ib_srp: corrige un punto muerto Elimine la llamada Flush_workqueue(system_long_wq) ya que vaciar system_long_wq es propenso a interbloqueo y esa llamada es redundante con un cancel_work_sync() anterior.

El complemento AcyMailing – An Ultimate Newsletter Plugin and Marketing Automation Solution para WordPress es vulnerable a cargas de archivos arbitrarias debido a la falta de validación del tipo de archivo en la función acym_extractArchive en todas las versiones hasta la 9.7.2 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.

El complemento Themify Builder para WordPress es vulnerable a la duplicación de publicaciones no autorizada debido a la falta de controles en la función duplicate_page_ajaxify en todas las versiones hasta la 7.6.1 incluida. Esto hace posible que los atacantes autenticados, con acceso de nivel Colaborador y superior, dupliquen y vean publicaciones privadas o borradores creados por otros usuarios a los que de otro modo no deberían tener acceso.

Dell Power Manager (DPM), versiones 3.15.0 y anteriores, contiene una vulnerabilidad de asignación de privilegios incorrecta. Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que provocaría la ejecución de código y la elevación de privilegios.

Los complementos The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce para WordPress son vulnerables a Cross-Site Scripting Almacenado a través del parámetro carousel_direction del widget de testimonios en todas las versiones hasta la 5.6.2 incluida, debido a una desinfección insuficiente de las entradas y a que la salida se escape en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.