Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: dsa: fix panic on shutting if multi-chip tree failed to probe El sondeo de DSA es atípico porque un árbol de dispositivos debe sondear todos a la vez, por lo que de N switches que llaman a dsa_tree_setup_routing_table() durante el sondeo, para (N - 1) de ellos, "complete" devolverá false y saldrán del sondeo antes de tiempo. El Nth switch configurará todo el árbol en su nombre. La implicación es que para (N - 1) switches, el controlador se vincula al dispositivo con éxito, sin hacer nada. Cuando el controlador está vinculado, el método ->shutdown() puede ejecutarse. Pero si el Nth switch no ha podido inicializar el árbol, no hay nada que hacer para las (N - 1) instancias del controlador, ya que los dispositivos esclavos no se han creado, etc. Además, dsa_switch_shutdown() espera que el @ds que llama se haya inicializado de hecho, por lo que salta a desreferenciar las diversas estructuras de datos, lo cual es incorrecto. Evite las desreferencias de puntero NULL resultantes simplemente verificando si el conmutador Nth ha establecido previamente "ds->setup = true" para el conmutador que se está apagando actualmente. La configuración completa está serializada bajo dsa2_mutex que ya tenemos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: af_netlink: Se corrige el cambio fuera de los límites en el cálculo de la máscara de grupo Cuando se recibe un mensaje netlink, netlink_recvmsg() completa la dirección del remitente. Uno de los campos es el campo de bits de 32 bits nl_groups, que lleva el grupo de multidifusión en el que se recibió el mensaje. El bit menos significativo corresponde al grupo 1 y, por lo tanto, el grupo más alto que el campo puede representar es 32. Por encima de eso, el depurador de UB marca los intentos de cambio fuera de los límites. Los bits que terminan siendo establecidos en tal caso están definidos por la implementación, pero será un valor incorrecto distinto de cero o cero, lo que al menos no es engañoso. Haga que la última opción sea determinista estableciendo siempre en 0 para los grupos de multidifusión de número superior. Para obtener información sobre la membresía en grupos >= 32, se espera que el espacio de usuario use los mensajes de control nl_pktinfo[0], que se habilitan mediante la opción de socket NETLINK_PKTINFO. [0] https://lwn.net/Articles/147608/ La forma de desencadenar este problema es, por ejemplo, a través del monitoreo del grupo BRVLAN: # bridge monitor vlan & # ip link add name br type bridge Lo que produce la siguiente cita: UBSAN: shift-out-of-bounds in net/netlink/af_netlink.c:162:19 shift exponent 32 is too large for 32-bit type 'int'

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mptcp: Se corrigió el bloqueo debido a que tcp_tsorted_anchor se inicializó antes del lanzamiento de skb Se produjo un bloqueo al realizar una prueba de presión de mptcp: ==================================================================================== dst_release: dst:ffffa06ce6e5c058 refcnt:-1 el kernel intentó ejecutar una página protegida por NX: ¿intento de explotación? (uid: 0) ERROR: no se puede manejar la solicitud de paginación del núcleo en ffffa06ce6e5c058 PGD 190a01067 P4D 190a01067 PUD 43fffb067 PMD 22e403063 PTE 8000000226e5c063 Oops: 0011 [#1] SMP PTI CPU: 7 PID: 7823 Comm: kworker/7:0 Kdump: cargado Tainted: GE Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.2.1 04/01/2014 Seguimiento de llamadas: ? skb_release_head_state+0x68/0x100 ? skb_release_all+0xe/0x30 ? kfree_skb+0x32/0xa0 ? mptcp_sendmsg_frag+0x57e/0x750 ? __mptcp_retrans+0x21b/0x3c0 ? __switch_to_asm+0x35/0x70 ? mptcp_worker+0x25e/0x320 ? process_one_work+0x1a7/0x360 ? worker_thread+0x30/0x390 ? create_worker+0x1a0/0x1a0 ? kthread+0x112/0x130 ? kthread_flush_work_fn+0x10/0x10 ? ret_from_fork+0x35/0x40<br /> =========================================================================== En __mptcp_alloc_tx_skb, se asignó skb y se inicializará skb-&amp;gt;tcp_tsorted_anchor. En una situación de presión de memoria insuficiente, sk_wmem_schedule devolverá falso y luego kfree_skb. En este caso, skb-&amp;gt;_skb_refdst no es nulo porque _skb_refdst y tcp_tsorted_anchor están almacenados en la misma memoria y kfree_skb intentará liberar dst y provocará un bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/nldev: evitar desbordamientos por debajo de la capacidad en nldev_stat_set_counter_dynamic_doit() Este código comprueba el "índice" en busca de un límite superior, pero no comprueba los valores negativos. Cambie el tipo a unsigned para evitar desbordamientos por debajo de la capacidad.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kernel/resource: fix kfree() of bootmem memory again Desde el commit ebff7d8f270d ("mem hotunplug: fix kfree() of bootmem memory"), podríamos obtener un recurso asignado durante el arranque a través de alloc_resource(). Y es necesario liberar el recurso utilizando free_resource(). Sin embargo, muchas personas utilizan kfree directamente, lo que dará como resultado un ERROR del kernel. Para solucionar esto sin reparar cada sitio de llamada, simplemente filtre un par de bytes en ese caso especial.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: block, bfq: don&amp;#39;t move oom_bfqq Nuestro informe de prueba es un UAF: [ 2073.019181] ======================================================================= [ 2073.019188] ERROR: KASAN: use-after-free en __bfq_put_async_bfqq+0xa0/0x168 [ 2073.019191] Escritura de tamaño 8 en la dirección ffff8000ccf64128 por la tarea rmmod/72584 [ 2073.019192] [ 2073.019196] CPU: 0 PID: 72584 Comm: rmmod Kdump: cargado No contaminado 4.19.90-yk #5 [ 2073.019198] Nombre del hardware: QEMU KVM Virtual Machine, BIOS 0.0.0 02/06/2015 [ 2073.019200] Rastreo de llamadas: [ 2073.019203] dump_backtrace+0x0/0x310 [ 2073.019206] show_stack+0x28/0x38 [ 2073.019210] dump_stack+0xec/0x15c [ 2073.019216] print_address_description+0x68/0x2d0 [ 2073.019220] kasan_report+0x238/0x2f0 [ 2073.019224] __asan_store8+0x88/0xb0 [ 2073.019229] __bfq_put_async_bfqq+0xa0/0x168 [ 2073.019233] bfq_put_async_queues+0xbc/0x208 [ 2073.019236] bfq_pd_offline+0x178/0x238 [ 2073.019240] blkcg_deactivate_policy+0x1f0/0x420 [ 2073.019244] bfq_exit_queue+0x128/0x178 [ 2073.019249] blk_mq_exit_sched+0x12c/0x160 [ 2073.019252] elevator_exit+0xc8/0xd0 [ 2073.019256] blk_exit_queue+0x50/0x88 [ 2073.019259] blk_cleanup_queue+0x228/0x3d8 [ 2073.019267] null_del_dev+0xfc/0x1e0 [null_blk] [ 2073.019274] null_exit+0x90/0x114 [null_blk] [ 2073.019278] __arm64_sys_delete_module+0x358/0x5a0 [ 2073.019282] el0_svc_common+0xc8/0x320 [ 2073.019287] el0_svc_handler+0xf8/0x160 [ 2073.019290] el0_svc+0x10/0x218 [ 2073.019291] [ 2073.019294] Asignado por la tarea 14163: [ 2073.019301] kasan_kmalloc+0xe0/0x190 [ 2073.019305] kmem_cache_alloc_node_trace+0x1cc/0x418 [ 2073.019308] bfq_pd_alloc+0x54/0x118 [ 2073.019313] blkcg_activate_policy+0x250/0x460 [ 2073.019317] bfq_create_group_hierarchy+0x38/0x110 [ 2073.019321] bfq_init_queue+0x6d0/0x948 [ 2073.019325] blk_mq_init_sched+0x1d8/0x390 [ 2073.019330] elevator_switch_mq+0x88/0x170 [ 2073.019334] elevator_switch+0x140/0x270 [ 2073.019338] elv_iosched_store+0x1a4/0x2a0 [ 2073.019342] queue_attr_store+0x90/0xe0 [ 2073.019348] sysfs_kf_write+0xa8/0xe8 [ 2073.019351] kernfs_fop_write+0x1f8/0x378 [ 2073.019359] __vfs_write+0xe0/0x360 [ 2073.019363] vfs_write+0xf0/0x270 [ 2073.019367] ksys_write+0xdc/0x1b8 [ 2073.019371] __arm64_sys_write+0x50/0x60 [ 2073.019375] el0_svc_common+0xc8/0x320 [ 2073.019380] el0_svc_handler+0xf8/0x160 [ 2073.019383] el0_svc+0x10/0x218 [ 2073.019385] [ 2073.019387] Liberado por la tarea 72584: [ 2073.019391] __kasan_slab_free+0x120/0x228 [ 2073.019394] kasan_slab_free+0x10/0x18 [ 2073.019397] kfree+0x94/0x368 [ 2073.019400] bfqg_put+0x64/0xb0 [ 2073.019404] bfqg_and_blkg_put+0x90/0xb0 [ 2073.019408] bfq_put_queue+0x220/0x228 [ 2073.019413] __bfq_put_async_bfqq+0x98/0x168 [ 2073.019416] bfq_put_async_queues+0xbc/0x208 [ 2073.019420] bfq_pd_offline+0x178/0x238 [ 2073.019424] blkcg_deactivate_policy+0x1f0/0x420 [ 2073.019429] bfq_exit_queue+0x128/0x178 [ 2073.019433] blk_mq_exit_sched+0x12c/0x160 [ 2073.019437] elevator_exit+0xc8/0xd0 [ 2073.019440] blk_exit_queue+0x50/0x88 [ 2073.019443] blk_cleanup_queue+0x228/0x3d8 [ 2073.019451] null_del_dev+0xfc/0x1e0 [null_blk] [ 2073.019459] null_exit+0x90/0x114 [null_blk] [ 2073.019462] __arm64_sys_delete_module+0x358/0x5a0 [ 2073.019467] el0_svc_common+0xc8/0x320 [ 2073.019471] el0_svc_handler+0xf8/0x160 [ 2073.019474] el0_svc+0x10/0x218 [ 2073.019475] [ 2073.019479] La dirección con errores pertenece al objeto en ffff8000ccf63f00 que pertenece al caché kmalloc-1024 de tamaño 1024 [ 2073.019484] La dirección con errores se encuentra 552 bytes dentro de la región de 1024 bytes [ffff8000ccf63f00, ffff8000ccf64300) [ 2073.019486] La dirección con errores pertenece a la página: [ 2073.019492] page:ffff7e000333d800 count:1 mapcount:0 mapping:ffff8000c0003a00 index:0x0 Compound_mapcount: 0 [ 2073.020123] flags: 0x7ffff0000008100(slab|head) [ 2073.020403] raw: 07ffff0000008100 ffff7e0003334c08 ffff7e00001f5a08 ffff8000c0003a00 [ 2073.020409] ra ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: hns3: agregar bloqueo de lista de VLAN para proteger la lista de VLAN Al agregar una VLAN base de puerto, la VLAN de VF debe eliminarse de HW y modificar el estado de VLAN en la lista de VLAN de VF como falso. Si la tarea de periodicidad está liberando el mismo nodo, puede causar un error de "use-after-free". Este parche agrega un bloqueo de lista de VLAN para proteger la lista de VLAN.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: clk: Arreglar clk_hw_get_clk() cuando dev es NULL Cualquier estructura clk_core registrada puede tener un puntero NULL en su campo dev. Si bien nunca se documentó realmente, esto se evidencia por el amplio uso de clk_register y clk_hw_register con un puntero de dispositivo NULL, y el hecho de que la función principal of_clk_hw_register() también pasa un puntero de dispositivo NULL. Una llamada a clk_hw_get_clk() en una estructura clk_hw cuyo clk_core está en ese caso dará como resultado una desreferencia de puntero NULL cuando llame a dev_name() en ese puntero de dispositivo NULL. Agregue una prueba para este caso y use NULL como dev_id si el puntero del dispositivo es NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/sched: act_ct: se corrige la fuga de referencia al cambiar de zona Al cambiar de zona o de espacio de nombres de red sin hacer una limpieza de ct en el medio, ahora se filtra una referencia a la entrada ct anterior. Esto se debe a que tcf_ct_skb_nfct_cached() devuelve falso y tcf_ct_flow_table_lookup() puede simplemente sobrescribirlo. La solución es, como la entrada ct no es reutilizable, liberarla ya en tcf_ct_skb_nfct_cached().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: sparx5: switchdev: se corrige la posible desreferencia de puntero NULL. Como es posible que la asignación falle, devm_kzalloc() puede devolver un puntero NULL. Por lo tanto, es mejor comprobar la &amp;#39;db&amp;#39; para evitar la desreferencia de puntero NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: nomadik: se agrega la función of_node_put() faltante en nmk_pinctrl_probe. Este puntero de nodo es devuelto por of_parse_phandle() con refcount incrementado en esta función. Se llama a of_node_put() para evitar la fuga de refcount.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: clk: visconti: evitar desbordamiento de matriz en visconti_clk_register_gates() Este código usaba -1 para representar que no había una función de reinicio. Desafortunadamente, el -1 se almacenaba en u8, por lo que la condición if (clks[i].rs_id &amp;gt;= 0) siempre era verdadera. Esto provocó un acceso fuera de los límites en visconti_clk_register_gates().