Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> f2fs: corrección para evitar mapear un bloque físico incorrecto para el archivo de intercambio<br /> <br /> Xiaolong Guo informó de un error de f2fs en bugzilla [1]<br /> <br /> [1] HTTPS://bugzilla.kernel.org/show_bug.cgi?id=220951<br /> <br /> Citado:<br /> <br /> Cuando se utiliza la prueba de estrés de intercambio de stress-ng en el sistema de archivos F2FS con kernel 6.6+, el sistema experimenta corrupción de datos que lleva a una de las siguientes situaciones:<br /> 1 errores de corrupción de dm-verity y reinicio del dispositivo<br /> 2 errores de corrupción de nodo F2FS y cuelgues de arranque<br /> <br /> El problema ocurre específicamente cuando:<br /> 1 Se utiliza el sistema de archivos F2FS (ext4 no se ve afectado)<br /> 2 El tamaño del archivo de intercambio es menor que el tamaño de sección de F2FS (2MB)<br /> 3 El archivo de intercambio tiene un diseño físico fragmentado (múltiples extensiones no contiguas)<br /> 4 La versión del kernel es 6.6+ (6.1 no se ve afectada)<br /> <br /> La causa raíz está en la función check_swap_activate() en fs/f2fs/data.c. Cuando la primera extensión de un archivo de intercambio pequeño (&amp;lt; 2MB) no está alineada con los límites de sección, la función lo trata incorrectamente como la última extensión, fallando en mapear extensiones subsiguientes. Esto resulta en una creación incorrecta de swap_extent donde solo la primera extensión es mapeada, causando que las escrituras de intercambio subsiguientes sobrescriban ubicaciones físicas incorrectas (datos de otros archivos).<br /> <br /> Pasos para Reproducir<br /> 1 Configurar un dispositivo con una partición de datos de usuario formateada en F2FS<br /> 2 Compilar stress-ng desde HTTPS://github.com/ColinIanKing/stress-ng<br /> 3 Ejecutar la prueba de estrés de intercambio: (dispositivos Android)<br /> adb shell &amp;#39;cd /data/stressng; ./stress-ng-64 --metrics-brief --timeout 60 --swap 0&amp;#39;<br /> <br /> Registro:<br /> 1 Ftrace muestra que en el kernel 6.6, solo la primera extensión se mapea durante la segunda llamada a f2fs_map_blocks en check_swap_activate():<br /> stress-ng-swap-8990: f2fs_map_blocks: ino=11002, file offset=0, start blkaddr=0x43143, len=0x1<br /> (Solo 4KB mapeados, no el archivo de intercambio completo)<br /> 2 en el kernel 6.1, ambas extensiones se mapean correctamente:<br /> stress-ng-swap-5966: f2fs_map_blocks: ino=28011, file offset=0, start blkaddr=0x13cd4, len=0x1<br /> stress-ng-swap-5966: f2fs_map_blocks: ino=28011, file offset=1, start blkaddr=0x60c84b, len=0xff<br /> <br /> El código problemático está en check_swap_activate():<br /> if ((pblock - SM_I(sbi)-&amp;gt;main_blkaddr) % blks_per_sec ||<br /> nr_pblocks % blks_per_sec ||<br /> !f2fs_valid_pinned_area(sbi, pblock)) {<br /> bool last_extent = false;<br /> <br /> not_aligned++;<br /> <br /> nr_pblocks = roundup(nr_pblocks, blks_per_sec);<br /> if (cur_lblock + nr_pblocks &amp;gt; sis-&amp;gt;max)<br /> nr_pblocks -= blks_per_sec;<br /> <br /> /* esta extensión es la última */<br /> if (!nr_pblocks) {<br /> nr_pblocks = last_lblock - cur_lblock;<br /> last_extent = true;<br /> }<br /> <br /> ret = f2fs_migrate_blocks(inode, cur_lblock, nr_pblocks);<br /> if (ret) {<br /> if (ret == -ENOENT)<br /> ret = -EINVAL;<br /> goto out;<br /> }<br /> <br /> if (!last_extent)<br /> goto retry;<br /> }<br /> <br /> Cuando la primera extensión no está alineada y roundup(nr_pblocks, blks_per_sec) excede sis-&amp;gt;max, restamos blks_per_sec resultando en nr_pblocks = 0. El código asume incorrectamente que esta es la última extensión, establece nr_pblocks = last_lblock - cur_lblock (archivo de intercambio completo), y realiza la migración. Después de la migración, no reintenta el mapeo, por lo que las extensiones subsiguientes nunca se procesan.<br /> <br /> Para solucionar este problema, necesitamos buscar la información de mapeo de bloques después de migrar todos los bloques en la cola del archivo de intercambio.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Revertir «f2fs: bloqueo de caché/escritura dio durante f2fs_enable_checkpoint()». Esto revierte la confirmación 196c81fdd438f7ac429d5639090a9816abb9760a. El parche original puede causar el siguiente bloqueo, reviertelo. write remount - write_begin - lock_page --- lock A - prepare_write_begin - f2fs_map_lock - f2fs_enable_checkpoint - down_write (cp_enable_rwsem) --- bloqueo B - sync_inode_sb - writepages - lock_page --- bloqueo A - down_read(cp_enable_rwsem) --- bloqueo A

Permisos inseguros en App-Auto-Patch v3.4.2 crean una condición de carrera que permite a los atacantes escribir archivos arbitrarios.

erase-install anterior a la v40.4 commit 2c31239 escribe la salida de credenciales de swiftDialog a una ruta codificada /var/tmp/dialog.json. Esto permite a un atacante no autenticado interceptar credenciales de administrador introducidas durante operaciones de reinstalación/borrado mediante la creación de una tubería con nombre.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> scsi: qla2xxx: Solución para bsg_done() que causa doble liberación<br /> <br /> Kernel panic observado en el sistema,<br /> <br /> [5353358.825191] BUG: unable a handle page fault para address: ff5f5e897b024000<br /> [5353358.825194] #PF: supervisor write access in kernel mode<br /> [5353358.825195] #PF: error_code(0x0002) - not-present page<br /> [5353358.825196] PGD 100006067 P4D 0<br /> [5353358.825198] Oops: 0002 [#1] PREEMPT SMP NOPTI<br /> [5353358.825200] CPU: 5 PID: 2132085 Comm: qlafwupdate.sub Kdump: loaded Tainted: G W L ------- --- 5.14.0-503.34.1.el9_5.x86_64 #1<br /> [5353358.825203] Hardware name: HPE ProLiant DL360 Gen11/ProLiant DL360 Gen11, BIOS 2.44 01/17/2025<br /> [5353358.825204] RIP: 0010:memcpy_erms+0x6/0x10<br /> [5353358.825211] RSP: 0018:ff591da8f4f6b710 EFLAGS: 00010246<br /> [5353358.825212] RAX: ff5f5e897b024000 RBX: 0000000000007090 RCX: 0000000000001000<br /> [5353358.825213] RDX: 0000000000001000 RSI: ff591da8f4fed090 RDI: ff5f5e897b024000<br /> [5353358.825214] RBP: 0000000000010000 R08: ff5f5e897b024000 R09: 0000000000000000<br /> [5353358.825215] R10: ff46cf8c40517000 R11: 0000000000000001 R12: 0000000000008090<br /> [5353358.825216] R13: ff591da8f4f6b720 R14: 0000000000001000 R15: 0000000000000000<br /> [5353358.825218] FS: 00007f1e88d47740(0000) GS:ff46cf935f940000(0000) knlGS:0000000000000000<br /> [5353358.825219] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> [5353358.825220] CR2: ff5f5e897b024000 CR3: 0000000231532004 CR4: 0000000000771ef0<br /> [5353358.825221] PKRU: 55555554<br /> [5353358.825222] Call Trace:<br /> [5353358.825223] <br /> [5353358.825224] ? show_trace_log_lvl+0x1c4/0x2df<br /> [5353358.825229] ? show_trace_log_lvl+0x1c4/0x2df<br /> [5353358.825232] ? sg_copy_buffer+0xc8/0x110<br /> [5353358.825236] ? __die_body.cold+0x8/0xd<br /> [5353358.825238] ? page_fault_oops+0x134/0x170<br /> [5353358.825242] ? kernelmode_fixup_or_oops+0x84/0x110<br /> [5353358.825244] ? exc_page_fault+0xa8/0x150<br /> [5353358.825247] ? asm_exc_page_fault+0x22/0x30<br /> [5353358.825252] ? memcpy_erms+0x6/0x10<br /> [5353358.825253] sg_copy_buffer+0xc8/0x110<br /> [5353358.825259] qla2x00_process_vendor_specific+0x652/0x1320 [qla2xxx]<br /> [5353358.825317] qla24xx_bsg_request+0x1b2/0x2d0 [qla2xxx]<br /> <br /> La mayoría de las rutinas en qla_bsg.c llaman a bsg_done() solo para casos de éxito. Sin embargo, algunas la invocan también para casos de fallo, lo que lleva a una doble liberación. Validar antes de llamar a bsg_done().

Un error de lógica en la función remove_password() en las versiones de Checkmk de Checkmk GmbH &amp;lt;2.4.0p23, &amp;lt;2.3.0p43 y 2.2.0 (EOL) permite a un usuario de bajo privilegio causar pérdida de datos.

El certificado del servidor no se verificó cuando un agente Arc se conectó a un Guardian o CMC.<br /> <br /> Un actor malicioso podría realizar un ataque man-in-the-middle e interceptar la comunicación entre el agente Arc y el Guardian o CMC. Esto podría resultar en el robo del token del cliente e información sensible (como activos y alertas), la suplantación del servidor, o la inyección de datos falsificados (como información falsa de activos o vulnerabilidades) en el Guardian o CMC.

Se descubrió una vulnerabilidad de inyección HTML almacenada en la funcionalidad de Mapa de Sensores del CMC debido a una validación inadecuada en las propiedades de los Guardianes conectados.<br /> <br /> Un usuario autenticado malicioso con privilegios de administrador en un Guardian conectado a un CMC puede editar las propiedades del Guardian para inyectar etiquetas HTML. Si la funcionalidad de Mapa de Sensores está habilitada en el CMC, cuando un usuario víctima del CMC interactúa con ella, el HTML inyectado puede renderizarse en su navegador, lo que permite ataques de phishing y posiblemente de redirección abierta. La explotación completa de XSS y la revelación directa de información se evitan mediante la validación de entrada existente y la configuración de la Política de Seguridad de Contenido.

Se descubrió una vulnerabilidad de inyección HTML almacenada en la funcionalidad del Panel de Nodos Alertados debido a una validación inadecuada en un parámetro de entrada.<br /> <br /> Un usuario autenticado malicioso con los privilegios requeridos podría editar una etiqueta de nodo para inyectar etiquetas HTML. Si el sistema está configurado para usar el Panel de Nodos Alertados, y se reportan alertas para el nodo afectado, entonces el HTML inyectado podría renderizarse en el navegador de un usuario víctima que interactúe con él, permitiendo phishing y posiblemente ataques de redirección abierta. La explotación completa de XSS y la revelación directa de información se evitan mediante la validación de entrada existente y la configuración de la Política de Seguridad de Contenido.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: nf_tables: corrige uso después de liberación en nf_tables_addchain()<br /> <br /> nf_tables_addchain() publica la cadena en table-&amp;gt;chains a través de list_add_tail_rcu() (en nft_chain_add()) antes de registrar los ganchos. Si nf_tables_register_hook() falla entonces, la ruta de error llama a nft_chain_del() (list_del_rcu()) seguido de nf_tables_chain_destroy() sin un período de gracia RCU intermedio.<br /> <br /> Esto crea dos condiciones de uso después de liberación:<br /> <br /> 1) Plano de control: nf_tables_dump_chains() recorre table-&amp;gt;chains bajo rcu_read_lock(). Un volcado concurrente aún puede estar recorriendo la cadena cuando la ruta de error la libera.<br /> <br /> 2) Ruta de paquetes: para NFPROTO_INET, nf_register_net_hook() instala brevemente el gancho IPv4 antes de que falle el registro de IPv6. Los paquetes que entran en nft_do_chain() a través del gancho IPv4 transitorio aún pueden estar desreferenciando chain-&amp;gt;blob_gen_X cuando la ruta de error libera la cadena.<br /> <br /> Añadir synchronize_rcu() entre nft_chain_del() y la destrucción de la cadena para que todos los lectores RCU -- tanto los hilos de volcado como la evaluación de paquetes en curso -- hayan terminado antes de que la cadena sea liberada.

Dell PowerScale OneFS, versión 9.13.0.0, contiene una vulnerabilidad en el mecanismo de bloqueo de cuentas excesivamente restrictivo. Un atacante no autenticado con acceso remoto podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una denegación de servicio.

Archivos o directorios accesibles a terceros externos, vulnerabilidad de asignación incorrecta de permisos para recursos críticos en Hallo Welt! GmbH BlueSpice (módulos de la extensión:NSFileRepo) permite acceder a funcionalidades no restringidas adecuadamente por ACLs, eludiendo bloqueos electrónicos y controles de acceso. Este problema afecta a BlueSpice: desde 5.1 hasta 5.1.3, desde 5.2 hasta 5.2.0.<br /> <br /> PISTA: Las versiones proporcionadas se aplican a las versiones de BlueSpice MediaWiki. Para la extensión:NSFileRepo, las versiones afectadas son 3.0 &amp;lt; 3.0.5.