Vulnerabilidades

2N Access Commander versión 3.4.1 y anteriores es vulnerable a la contaminación de registros. Ciertos parámetros enviados a través de la API pueden ser incluidos en los registros sin validación o saneamiento previo. Esta vulnerabilidad solo puede ser explotada después de autenticarse con privilegios de administrador.

Validación incorrecta del punto final de la API en 2N Access Commander versión 3.4.2 y anteriores permite al atacante eludir la política de contraseñas para el cifrado de archivos de copia de seguridad. Esta vulnerabilidad solo puede ser explotada después de autenticarse con privilegios de administrador.

2N Access Commander versión 3.4.2 y anteriores invalida incorrectamente los tokens de sesión, permitiendo que múltiples cookies de sesión permanezcan activas después del cierre de sesión en la aplicación web.

La aplicación 2N Access Commander versión 3.4.2 y anteriores devuelve respuestas de error interno del servidor HTTP 500 al recibir solicitudes malformadas o manipuladas, lo que indica un manejo inadecuado de entrada inválida y posibles impactos en la seguridad o disponibilidad.

Una vulnerabilidad ha sido identificada dentro del Rancher Backup Operator, resultando en la fuga de tokens S3 (tanto accessKey como secretKey) en los logs del pod rancher-backup-operator.

El endpoint de la API para la sincronización de usuarios en 2N Access Commander versión 3.4.1 no tenía una validación de entrada suficiente, lo que permitía la inyección de comandos del sistema operativo. Esta vulnerabilidad solo puede ser explotada después de autenticarse con privilegios de administrador.

Una vulnerabilidad fue descubierta recientemente en el demonio rpc.mountd del paquete nfs-utils para Linux, que permite a un cliente NFSv3 escalar los privilegios asignados a él en el archivo /etc/exports en el momento del montaje. En particular, permite al cliente acceder a cualquier subdirectorio o subárbol de un directorio exportado, independientemente de los permisos de archivo establecidos, e independientemente de cualquier atributo 'root_squash' o 'all_squash' que normalmente se esperaría que se aplicaran a ese cliente.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> fbdev: smscufx: copiar correctamente la memoria ioctl al espacio del kernel<br /> <br /> El ioctl UFX_IOCTL_REPORT_DAMAGE no copia correctamente los datos desde el espacio de usuario al espacio del kernel, y en su lugar referencia directamente la memoria, lo que puede causar problemas si se pasan datos inválidos desde el espacio de usuario. Soluciona todo esto copiando correctamente la memoria antes de acceder a ella dentro del kernel.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> romfs: verificar el valor de retorno de sb_set_blocksize()<br /> <br /> romfs_fill_super() ignora el valor de retorno de sb_set_blocksize(), lo cual puede fallar si el tamaño de bloque solicitado es incompatible con la configuración del dispositivo de bloques.<br /> <br /> Esto puede ser activado al establecer el tamaño de bloque de un dispositivo de bucle mayor que PAGE_SIZE usando ioctl(LOOP_SET_BLOCK_SIZE, 32768), y luego montando un sistema de archivos romfs en ese dispositivo.<br /> <br /> Cuando se llama a sb_set_blocksize(sb, ROMBSIZE) con ROMBSIZE=4096 pero el dispositivo tiene logical_block_size=32768, bdev_validate_blocksize() falla porque el tamaño solicitado es menor que el tamaño de bloque lógico del dispositivo. sb_set_blocksize() devuelve 0 (falla), pero romfs ignora esto y continúa el montaje.<br /> <br /> El tamaño de bloque del superbloque permanece en el tamaño de bloque lógico del dispositivo (32768). Más tarde, cuando sb_bread() intenta E/S con este tamaño de bloque sobredimensionado, activa un BUG del kernel en folio_set_bh():<br /> <br /> BUG del kernel en fs/buffer.c:1582!<br /> BUG_ON(size &amp;gt; PAGE_SIZE);<br /> <br /> Solución al verificar el valor de retorno de sb_set_blocksize() y fallar el montaje con -EINVAL si devuelve 0.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> platform/x86: classmate-laptop: Añadir comprobaciones de puntero NULL faltantes<br /> <br /> En algunos lugares del controlador del portátil Classmate, el código que utiliza el objeto accel puede ejecutarse antes de que la dirección de ese objeto se almacene en los datos del controlador del dispositivo de entrada que lo utiliza.<br /> <br /> Por ejemplo, cmpc_accel_sensitivity_store_v4() es el método &amp;#39;show&amp;#39; de cmpc_accel_sensitivity_attr_v4 que se añade en cmpc_accel_add_v4(), antes de llamar a dev_set_drvdata() para inputdev-&amp;gt;dev. Si el atributo sysfs se accede prematuramente, la llamada a dev_get_drvdata(&amp;amp;inputdev-&amp;gt;dev) en cmpc_accel_sensitivity_store_v4() devuelve NULL, lo que lleva a una desreferencia de puntero NULL en adelante.<br /> <br /> Además, los atributos sysfs que utilizan el dispositivo de entrada se añaden antes de inicializar ese dispositivo por cmpc_add_acpi_notify_device() y si se accede a uno de ellos antes de ejecutar esa función, ocurrirá una desreferencia de puntero NULL.<br /> <br /> Por ejemplo, cmpc_accel_sensitivity_attr_v4 se añade antes de llamar a cmpc_add_acpi_notify_device() y si se lee prematuramente, la llamada a dev_get_drvdata(&amp;amp;acpi-&amp;gt;dev) en cmpc_accel_sensitivity_show_v4() devuelve NULL, lo que lleva a una desreferencia de puntero NULL en adelante.<br /> <br /> Solucionar esto añadiendo comprobaciones de puntero NULL en todos los lugares relevantes.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> f2fs: corrige el acceso fuera de límites en la lectura/escritura de atributos sysfs<br /> <br /> Algunos atributos sysfs de f2fs sufren de acceso a memoria fuera de límites y manejo incorrecto de valores enteros cuyo tamaño no es de 4 bytes.<br /> <br /> Por ejemplo:<br /> vm:~# echo 65537 &amp;gt; /sys/fs/f2fs/vde/carve_out<br /> vm:~# cat /sys/fs/f2fs/vde/carve_out<br /> 65537<br /> vm:~# echo 4294967297 &amp;gt; /sys/fs/f2fs/vde/atgc_age_threshold<br /> vm:~# cat /sys/fs/f2fs/vde/atgc_age_threshold<br /> 1<br /> <br /> carve_out se mapea a {struct f2fs_sb_info}-&amp;gt;carve_out, que es un entero de 8 bits. Sin embargo, la interfaz sysfs permite establecerlo a un valor mayor que 255, lo que resulta en una actualización fuera de rango.<br /> <br /> atgc_age_threshold se mapea a {struct atgc_management}-&amp;gt;age_threshold, que es un entero de 64 bits, pero su interfaz sysfs no puede establecer correctamente valores mayores que UINT_MAX.<br /> <br /> Las causas raíz son:<br /> 1. __sbi_store() trata todos los valores predeterminados como unsigned int, lo que impide actualizar enteros mayores de 4 bytes y causa escrituras fuera de límites para enteros menores de 4 bytes.<br /> <br /> 2. f2fs_sbi_show() también asume que todos los valores predeterminados son unsigned int, lo que lleva a lecturas fuera de límites y acceso incorrecto a enteros mayores de 4 bytes.<br /> <br /> Este parche introduce {struct f2fs_attr}-&amp;gt;size para registrar el tamaño real del entero asociado con cada atributo sysfs. Con esta información, las operaciones de lectura y escritura de sysfs pueden acceder y actualizar valores correctamente según su tamaño de datos real, evitando la corrupción de memoria y la truncación.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> f2fs: corrección para evitar UAF en f2fs_write_end_io()<br /> <br /> Como syzbot informó un problema de uso después de liberación en f2fs_write_end_io().<br /> <br /> Es causado por la siguiente condición de carrera:<br /> <br /> loop device umount<br /> - worker_thread<br /> - loop_process_work<br /> - do_req_filebacked<br /> - lo_rw_aio<br /> - lo_rw_aio_complete<br /> - blk_mq_end_request<br /> - blk_update_request<br /> - f2fs_write_end_io<br /> - dec_page_count<br /> - folio_end_writeback<br /> - kill_f2fs_super<br /> - kill_block_super<br /> - f2fs_put_super<br /> : free(sbi)<br /> : get_pages(, F2FS_WB_CP_DATA)<br /> accedió a sbi que está liberado<br /> <br /> En kill_f2fs_super(), descartaremos todas las cachés de página de los inodos f2fs antes de llamar a free(sbi), esto garantiza que todos los folios deberían finalizar su writeback, por lo tanto, debería ser seguro acceder a sbi antes del último folio_end_writeback().<br /> <br /> Reubicaremos el flujo de activación del hilo ckpt antes de folio_end_writeback() para resolver este problema.