Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> drm/vmwgfx: Corregir KMS con 3D en la versión de HW 10<br /> <br /> La versión de HW 10 no tiene GB Surfaces por lo que no hay un búfer de respaldo para FBs respaldados por superficie. Esto resultaría en una desreferencia de puntero nulo y colapsaría el controlador causando una pantalla negra.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> dmaengine: idxd: corregir fugas de dispositivos en la vinculación y desvinculación de compatibilidad<br /> <br /> Asegúrese de liberar la referencia tomada al buscar el dispositivo idxd como parte de la interfaz sysfs de vinculación y desvinculación de compatibilidad.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net/mlx5e: No almacenar mlx5e_priv en mlx5e_dev devlink priv<br /> <br /> mlx5e_priv es una estructura inestable que puede ser memset(0) si falla la conexión del perfil. mlx5e_priv en mlx5e_dev devlink private se utiliza para referenciar el netdev y mdev asociados con esa estructura. En su lugar, almacenar netdev directamente en mlx5e_dev y obtener mdev de la estructura del dispositivo auxiliar mlx5_adev que lo contiene.<br /> <br /> Esto corrige un kernel oops en mlx5e_remove cuando el modo switchdev falla debido a un fallo en el cambio de perfil.<br /> <br /> $ devlink dev eswitch set pci/0000:00:03.0 mode switchdev<br /> Error: mlx5_core: Falló al establecer eswitch en offloads.<br /> dmesg:<br /> workqueue: Falló al crear un kthread de rescate para wq "mlx5e": -EINTR<br /> mlx5_core 0012:03:00.1: mlx5e_netdev_init_profile:6214:(pid 37199): mlx5e_priv_init failed, err=-12<br /> mlx5_core 0012:03:00.1 gpu3rdma1: mlx5e_netdev_change_profile: new profile init failed, -12<br /> workqueue: Falló al crear un kthread de rescate para wq "mlx5e": -EINTR<br /> mlx5_core 0012:03:00.1: mlx5e_netdev_init_profile:6214:(pid 37199): mlx5e_priv_init failed, err=-12<br /> mlx5_core 0012:03:00.1 gpu3rdma1: mlx5e_netdev_change_profile: failed to rollback to orig profile, -12<br /> <br /> $ devlink dev reload pci/0000:00:03.0 ==&amp;gt; oops<br /> <br /> BUG: desreferencia de puntero NULL del kernel, dirección: 0000000000000520<br /> #PF: acceso de lectura de supervisor en modo kernel<br /> #PF: error_code(0x0000) - página no presente<br /> PGD 0 P4D 0<br /> Oops: Oops: 0000 [#1] SMP NOPTI<br /> CPU: 3 UID: 0 PID: 521 Comm: devlink Not tainted 6.18.0-rc5+ #117 PREEMPT(voluntary)<br /> Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-2.fc40 04/01/2014<br /> RIP: 0010:mlx5e_remove+0x68/0x130<br /> RSP: 0018:ffffc900034838f0 EFLAGS: 00010246<br /> RAX: ffff88810283c380 RBX: ffff888101874400 RCX: ffffffff826ffc45<br /> RDX: 0000000000000000 RSI: 0000000000000001 RDI: 0000000000000000<br /> RBP: ffff888102d789c0 R08: ffff8881007137f0 R09: ffff888100264e10<br /> R10: ffffc90003483898 R11: ffffc900034838a0 R12: ffff888100d261a0<br /> R13: ffff888100d261a0 R14: ffff8881018749a0 R15: ffff888101874400<br /> FS: 00007f8565fea740(0000) GS:ffff88856a759000(0000) knlGS:0000000000000000<br /> CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> CR2: 0000000000000520 CR3: 000000010b11a004 CR4: 0000000000370ef0<br /> Rastro de Llamada:<br /> <br /> device_release_driver_internal+0x19c/0x200<br /> bus_remove_device+0xc6/0x130<br /> device_del+0x160/0x3d0<br /> ? devl_param_driverinit_value_get+0x2d/0x90<br /> mlx5_detach_device+0x89/0xe0<br /> mlx5_unload_one_devl_locked+0x3a/0x70<br /> mlx5_devlink_reload_down+0xc8/0x220<br /> devlink_reload+0x7d/0x260<br /> devlink_nl_reload_doit+0x45b/0x5a0<br /> genl_family_rcv_msg_doit+0xe8/0x140

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: can: j1939: j1939_xtp_rx_rts_session_active(): desactivar sesión al recibir el segundo rts<br /> <br /> Dado que j1939_session_deactivate_activate_next() en j1939_tp_rxtimer() se<br /> llama solo cuando el temporizador está habilitado, necesitamos llamar a<br /> j1939_session_deactivate_activate_next() si cancelamos el temporizador.<br /> De lo contrario, la cuenta de referencias (refcount) para j1939_session se fuga, lo que más tarde aparecerá como<br /> <br /> | unregister_netdevice: esperando que vcan0 quede libre. Recuento de uso = 2.<br /> <br /> problema.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net/sched: sch_qfq: no liberar la clase existente en qfq_change_class()<br /> <br /> Corrige el caso de error de qfq_change_class().<br /> <br /> cl-&amp;gt;qdisc y cl solo deben liberarse si se asignaron una nueva clase y qdisc, o nos arriesgamos a varios UAF.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta: net/mlx5e: Soluciona el fallo en el fallo de reversión del cambio de perfil mlx5e_netdev_change_profile puede fallar al adjuntar un nuevo perfil y puede fallar al revertir al perfil antiguo; en tal caso, podríamos terminar con un netdev colgante con un netdev_priv completamente reiniciado. Un reintento de cambiar el perfil, p. ej., otro intento de llamar a mlx5e_netdev_change_profile a través del cambio de modo switchdev, fallará al intentar acceder al ahora NULL priv-&amp;gt;mdev. Esta solución permite a mlx5e_netdev_change_profile() manejar fallos anteriores y un priv vacío, al no asumir que priv es válido. Pase netdev y mdev a todos los flujos que requieran mlx5e_netdev_change_profile() y evite pasar priv. En mlx5e_netdev_change_profile() verifique si el priv actual es válido, y si no lo es, simplemente adjunte el nuevo perfil sin intentar acceder al antiguo. Esto soluciona el siguiente oops, al habilitar el modo switchdev por segunda vez después del primer fallo: ## Habilitando el modo switchdev por primera vez: mlx5_core 0012:03:00.1: E-Switch: Descarga de cadenas tc y prios soportadas workqueue: Fallo al crear un kthread de rescate para wq &amp;#39;mlx5e&amp;#39;: -EINTR mlx5_core 0012:03:00.1: mlx5e_netdev_init_profile:6214:(pid 37199): mlx5e_priv_init falló, err=-12 mlx5_core 0012:03:00.1 gpu3rdma1: mlx5e_netdev_change_profile: la inicialización del nuevo perfil falló, -12 workqueue: Fallo al crear un kthread de rescate para wq &amp;#39;mlx5e&amp;#39;: -EINTR mlx5_core 0012:03:00.1: mlx5e_netdev_init_profile:6214:(pid 37199): mlx5e_priv_init falló, err=-12 mlx5_core 0012:03:00.1 gpu3rdma1: mlx5e_netdev_change_profile: falló al revertir al perfil original, -12 ^^^^^^^^ mlx5_core 0000:00:03.0: E-Switch: Deshabilitar: modo(LEGACY), nvfs(0), necvfs(0), vports activos(0) ## reintento: Habilitando el modo switchdev por segunda vez: mlx5_core 0000:00:03.0: E-Switch: Descarga de cadenas tc y prios soportadas BUG: desreferencia de puntero NULL del kernel, dirección: 0000000000000038 #PF: acceso de lectura de supervisor en modo kernel #PF: error_code(0x0000) - página no presente PGD 0 P4D 0 Oops: Oops: 0000 [#1] SMP NOPTI CPU: 13 UID: 0 PID: 520 Comm: devlink Not tainted 6.18.0-rc4+ #91 PREEMPT(voluntary) Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-2.fc40 04/01/2014 RIP: 0010:mlx5e_detach_netdev+0x3c/0x90 Code: 50 00 00 f0 80 4f 78 02 48 8b bf e8 07 00 00 48 85 ff 74 16 48 8b 73 78 48 d1 ee 83 e6 01 83 f6 01 40 0f b6 f6 e8 c4 42 00 00 &amp;lt;48&amp;gt; 8b 45 38 48 85 c0 74 08 48 89 df e8 cc 47 40 1e 48 8b bb f0 07 RSP: 0018:ffffc90000673890 EFLAGS: 00010246 RAX: 0000000000000000 RBX: ffff8881036a89c0 RCX: 0000000000000000 RDX: ffff888113f63800 RSI: ffffffff822fe720 RDI: 0000000000000000 RBP: 0000000000000000 R08: 0000000000002dcd R09: 0000000000000000 R10: ffffc900006738e8 R11: 00000000ffffffff R12: 0000000000000000 R13: 0000000000000000 R14: ffff8881036a89c0 R15: 0000000000000000 FS: 00007fdfb8384740(0000) GS:ffff88856a9d6000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000038 CR3: 0000000112ae0005 CR4: 0000000000370ef0 Traza de Llamada: mlx5e_netdev_change_profile+0x45/0xb0 mlx5e_vport_rep_load+0x27b/0x2d0 mlx5_esw_offloads_rep_load+0x72/0xf0 esw_offloads_enable+0x5d0/0x970 mlx5_eswitch_enable_locked+0x349/0x430 ? is_mp_supported+0x57/0xb0 mlx5_devlink_eswitch_mode_set+0x26b/0x430 devlink_nl_eswitch_set_doit+0x6f/0xf0 genl_family_rcv_msg_doit+0xe8/0x140 genl_rcv_msg+0x18b/0x290 ? __pfx_devlink_nl_pre_doit+0x10/0x10 ? __pfx_devlink_nl_eswitch_set_doit+0x10/0x10 ? __pfx_devlink_nl_post_doit+0x10/0x10 ? __pfx_genl_rcv_msg+0x10/0x10 netlink_rcv_skb+0x52/0x100 genl_rcv+0x28/0x40 netlink_unicast+0x282/0x3e0 ? __alloc_skb+0xd6/0x190 netlink_sendmsg+0x1f7/0x430 __sys_sendto+0x213/0x220 ? __sys_recvmsg+0x6a/0xd0 __x64_sys_sendto+0x24/0x30 do_syscall_64+0x50/0x1f0 entry_SYSCALL_64_after_hwframe+0x76/0x7e

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> nvme-tcp: soluciona desreferencias de puntero NULL en nvmet_tcp_build_pdu_iovec<br /> <br /> El commit efa56305908b (&amp;#39;nvmet-tcp: Soluciona un pánico del kernel cuando el host envía una longitud de PDU H2C inválida&amp;#39;) añadió la comprobación de límites de ttag y la validación de data_offset en nvmet_tcp_handle_h2c_data_pdu(), pero no validó si las estructuras de datos del comando (cmd-&amp;gt;req.sg y cmd-&amp;gt;iov) han sido inicializadas correctamente antes de procesar las PDUs H2C_DATA.<br /> <br /> La función nvmet_tcp_build_pdu_iovec() desreferencia estos punteros sin comprobaciones de NULL. Esto puede ser provocado enviando una PDU H2C_DATA inmediatamente después del handshake ICREQ/ICRESP, antes de enviar un comando CONNECT o un comando de escritura NVMe.<br /> <br /> Vectores de ataque que provocan desreferencias de puntero NULL:<br /> 1. PDU H2C_DATA enviada antes de CONNECT ? ambos punteros NULL<br /> 2. PDU H2C_DATA para comando READ ? cmd-&amp;gt;req.sg asignado, cmd-&amp;gt;iov NULL<br /> 3. PDU H2C_DATA para slot de comando no inicializado ? ambos punteros NULL<br /> <br /> La solución valida tanto cmd-&amp;gt;req.sg como cmd-&amp;gt;iov antes de llamar a nvmet_tcp_build_pdu_iovec(). Ambas comprobaciones son necesarias porque:<br /> - Comandos no inicializados: ambos NULL<br /> - Comandos READ: cmd-&amp;gt;req.sg asignado, cmd-&amp;gt;iov NULL<br /> - Comandos WRITE: ambos asignados

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> macvlan: soluciona posible UAF en macvlan_forward_source()<br /> <br /> Añade protección RCU en (struct macvlan_source_entry)-&amp;gt;vlan.<br /> <br /> Siempre que se llama a macvlan_hash_del_source(), debemos borrar el puntero entry-&amp;gt;vlan antes de que comience el período de gracia de RCU.<br /> <br /> Esto permite a macvlan_forward_source() omitir entradas en cola para ser liberadas.<br /> <br /> Tenga en cuenta que macvlan_dev ya están protegidos por RCU, ya que están incrustados en un netdev estándar (netdev_priv(ndev)).<br /> <br /> https: //lore.kernel.org/netdev/695fb1e8.050a0220.1c677c.039f.GAE@google.com/T/#u

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> dmaengine: tegra-adma: Corrección de uso después de liberación<br /> <br /> Existe un error de uso después de liberación en el controlador Tegra ADMA cuando las transmisiones de audio son terminadas, particularmente durante condiciones XRUN. El problema ocurre cuando el búfer DMA es liberado por tegra_adma_terminate_all() antes de que la tarea de finalización de vchan termine de acceder a él.<br /> <br /> La condición de carrera sigue esta secuencia:<br /> <br /> 1. La transferencia DMA se completa, desencadenando una interrupción que programa la tarea de finalización (la tarea aún no se ha ejecutado)<br /> 2. La reproducción de audio se detiene, llamando a tegra_adma_terminate_all() que libera la memoria del búfer DMA a través de kfree()<br /> 3. La tarea programada finalmente se ejecuta, llamando a vchan_complete() que intenta acceder a la memoria ya liberada<br /> <br /> Dado que las tareas pueden ejecutarse en cualquier momento después de ser programadas, no hay garantía de que el búfer permanezca válido cuando se ejecuta vchan_complete().<br /> <br /> Corrija esto mediante la sincronización adecuada de la finalización del canal virtual:<br /> - Llamando a vchan_terminate_vdesc() en tegra_adma_stop() para marcar los descriptores como terminados en lugar de liberar el descriptor.<br /> - Agregue la función de devolución de llamada tegra_adma_synchronize() que llama a vchan_synchronize() que elimina cualquier tarea pendiente y libera cualquier descriptor terminado.<br /> <br /> Registros de fallos:<br /> [ 337.427523] BUG: KASAN: uso después de liberación en vchan_complete+0x124/0x3b0<br /> [ 337.427544] Lectura de tamaño 8 en la dirección ffff000132055428 por la tarea swapper/0/0<br /> <br /> [ 337.427562] Traza de llamada:<br /> [ 337.427564] dump_backtrace+0x0/0x320<br /> [ 337.427571] show_stack+0x20/0x30<br /> [ 337.427575] dump_stack_lvl+0x68/0x84<br /> [ 337.427584] print_address_description.constprop.0+0x74/0x2b8<br /> [ 337.427590] kasan_report+0x1f4/0x210<br /> [ 337.427598] __asan_load8+0xa0/0xd0<br /> [ 337.427603] vchan_complete+0x124/0x3b0<br /> [ 337.427609] tasklet_action_common.constprop.0+0x190/0x1d0<br /> [ 337.427617] tasklet_action+0x30/0x40<br /> [ 337.427623] __do_softirq+0x1a0/0x5c4<br /> [ 337.427628] irq_exit+0x110/0x140<br /> [ 337.427633] handle_domain_irq+0xa4/0xe0<br /> [ 337.427640] gic_handle_irq+0x64/0x160<br /> [ 337.427644] call_on_irq_stack+0x20/0x4c<br /> [ 337.427649] do_interrupt_handler+0x7c/0x90<br /> [ 337.427654] el1_interrupt+0x30/0x80<br /> [ 337.427659] el1h_64_irq_handler+0x18/0x30<br /> [ 337.427663] el1h_64_irq+0x7c/0x80<br /> [ 337.427667] cpuidle_enter_state+0xe4/0x540<br /> [ 337.427674] cpuidle_enter+0x54/0x80<br /> [ 337.427679] do_idle+0x2e0/0x380<br /> [ 337.427685] cpu_startup_entry+0x2c/0x70<br /> [ 337.427690] rest_init+0x114/0x130<br /> [ 337.427695] arch_call_rest_init+0x18/0x24<br /> [ 337.427702] start_kernel+0x380/0x3b4<br /> [ 337.427706] __primary_switched+0xc0/0xc8

Deep Instinct Windows Agent 1.2.24.0 contiene una vulnerabilidad de ruta de servicio sin comillas en el DeepNetworkService que permite a usuarios locales potencialmente ejecutar código con privilegios elevados. Los atacantes pueden explotar la ruta sin comillas en C:\Program Files\HP Sure Sense\DeepNetworkService.exe para inyectar código malicioso que se ejecutaría con permisos de LocalSystem durante el inicio del servicio.

KMSpico 17.1.0.0 contiene una vulnerabilidad de ruta de servicio sin comillas en la configuración del Servicio KMSELDI que permite a atacantes locales ejecutar potencialmente código arbitrario. Los atacantes pueden explotar la ruta binaria sin comillas en C:\Program Files\KMSpico\Service_KMS.exe para inyectar ejecutables maliciosos y escalar privilegios.

Magic Mouse 2 Utilities 2.20 contiene una vulnerabilidad de ruta de servicio sin comillas en su configuración de servicio de Windows. Los atacantes pueden explotar la ruta sin comillas para inyectar ejecutables maliciosos y obtener privilegios de sistema elevados al colocar un archivo malicioso en la ruta del servicio.