Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> RDMA/cm: Soluciona la fuga de la referencia de la tabla GID de multidifusión<br /> <br /> Si el ID de CM es destruido mientras el evento de CM para la creación de multidifusión aún está en cola, la función cancel_work_sync() evitará que el trabajo se ejecute, lo que también impide destruir el ah_attr. Esto provoca una fuga de refcount y activa una ADVERTENCIA:<br /> <br /> Fuga de referencia de entrada GID para dev syz1 índice 2 ref=573<br /> ADVERTENCIA: CPU: 1 PID: 655 en drivers/infiniband/core/cache.c:809 release_gid_table drivers/infiniband/core/cache.c:806 [inline]<br /> ADVERTENCIA: CPU: 1 PID: 655 en drivers/infiniband/core/cache.c:809 gid_table_release_one+0x284/0x3cc drivers/infiniband/core/cache.c:886<br /> <br /> Destruir el ah_attr después de cancelar el trabajo; es seguro llamar a esto dos veces.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ipv6: BUG() en pskb_expand_head() como parte de calipso_skbuff_setattr()<br /> <br /> Existe un oops del kernel causado por un BUG_ON(nhead &amp;lt; 0) en net/core/skbuff.c:2232 en pskb_expand_head(). Este error se activa como parte de la rutina calipso_skbuff_setattr() cuando a skb_cow() se le pasa un headroom &amp;gt; INT_MAX (es decir, (int)(skb_headroom(skb) + len_delta) &amp;lt; 0).<br /> <br /> La causa raíz del error se debe a una conversión implícita de entero en __skb_cow(). La comprobación (headroom &amp;gt; skb_headroom(skb)) tiene como objetivo asegurar que delta = headroom - skb_headroom(skb) nunca sea negativo, de lo contrario, activaremos un BUG_ON en pskb_expand_head(). Sin embargo, si headroom &amp;gt; INT_MAX y delta &amp;lt;= -NET_SKB_PAD, la comprobación pasa, delta se vuelve negativo y a pskb_expand_head() se le pasa un valor negativo para nhead.<br /> <br /> Corregir la condición de activación en calipso_skbuff_setattr(). Evitar pasar tamaños de &amp;#39;headroom&amp;#39; &amp;#39;negativos&amp;#39; a skb_cow() dentro de calipso_skbuff_setattr() utilizando únicamente skb_cow() para aumentar el headroom.<br /> <br /> PoC:<br /> Usando la herramienta &amp;#39;netlabelctl&amp;#39;:<br /> <br /> netlabelctl map del default<br /> netlabelctl calipso add pass doi:7<br /> netlabelctl map add default address:0::1/128 protocol:calipso,7<br /> <br /> Luego ejecute el siguiente PoC:<br /> <br /> int fd = socket(AF_INET6, SOCK_DGRAM, IPPROTO_UDP);<br /> <br /> // setup msghdr<br /> int cmsg_size = 2;<br /> int cmsg_len = 0x60;<br /> struct msghdr msg;<br /> struct sockaddr_in6 dest_addr;<br /> struct cmsghdr * cmsg = (struct cmsghdr *) calloc(1,<br /> sizeof(struct cmsghdr) + cmsg_len);<br /> msg.msg_name = &amp;amp;dest_addr;<br /> msg.msg_namelen = sizeof(dest_addr);<br /> msg.msg_iov = NULL;<br /> msg.msg_iovlen = 0;<br /> msg.msg_control = cmsg;<br /> msg.msg_controllen = cmsg_len;<br /> msg.msg_flags = 0;<br /> <br /> // setup sockaddr<br /> dest_addr.sin6_family = AF_INET6;<br /> dest_addr.sin6_port = htons(31337);<br /> dest_addr.sin6_flowinfo = htonl(31337);<br /> dest_addr.sin6_addr = in6addr_loopback;<br /> dest_addr.sin6_scope_id = 31337;<br /> <br /> // setup cmsghdr<br /> cmsg-&amp;gt;cmsg_len = cmsg_len;<br /> cmsg-&amp;gt;cmsg_level = IPPROTO_IPV6;<br /> cmsg-&amp;gt;cmsg_type = IPV6_HOPOPTS;<br /> char * hop_hdr = (char *)cmsg + sizeof(struct cmsghdr);<br /> hop_hdr[1] = 0x9; //set hop size - (0x9 + 1) * 8 = 80<br /> <br /> sendmsg(fd, &amp;amp;msg, 0);

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: rose: corrige índice de array inválido en rose_kill_by_device()<br /> <br /> rose_kill_by_device() recopila sockets en un array[] local y luego itera sobre ellos para desconectar los sockets vinculados a un dispositivo que está siendo dado de baja.<br /> <br /> El bucle indexa erróneamente array[cnt] en lugar de array[i]. Para cnt &amp;lt; ARRAY_SIZE(array), esto lee una entrada no inicializada; para cnt == ARRAY_SIZE(array), es una lectura fuera de límites. Cualquiera de los dos casos puede llevar a una desreferenciación de puntero de socket inválida y también filtra referencias tomadas a través de sock_hold().<br /> <br /> Corrige el índice para usar i.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> iavf: corrige problemas de &amp;#39;off-by-one&amp;#39; en iavf_config_rss_reg()<br /> <br /> Existen errores de &amp;#39;off-by-one&amp;#39; al configurar la clave hash RSS y la tabla de búsqueda, causando lecturas fuera de límites a la memoria [1] y escrituras fuera de límites a los registros del dispositivo.<br /> <br /> Antes del commit 43a3d9ba34c9 (&amp;#39;i40evf: Permitir al controlador PF configurar RSS&amp;#39;), los límites superiores del bucle eran:<br /> i &amp;lt;= I40E_VFQF_{HKEY,HLUT}_MAX_INDEX<br /> lo cual es seguro ya que el valor es el último índice válido.<br /> <br /> Ese commit cambió los límites a:<br /> i &amp;lt;= adapter-&amp;gt;rss_{key,lut}_size / 4<br /> donde &amp;#39;rss_{key,lut}_size / 4&amp;#39; es el número de dwords, por lo que el último índice válido es &amp;#39;(rss_{key,lut}_size / 4) - 1&amp;#39;. Por lo tanto, usar &amp;#39;&amp;lt;=&amp;#39; accede a un elemento más allá del final.<br /> <br /> Se corrigen los problemas usando &amp;#39;&amp;lt;&amp;#39; en lugar de &amp;#39;&amp;lt;=&amp;#39;, asegurando que no excedemos los límites.<br /> <br /> [1] Informe de KASAN sobre el &amp;#39;off-by-one&amp;#39; de rss_key_size<br /> ERROR: KASAN: &amp;#39;slab-out-of-bounds&amp;#39; en iavf_config_rss+0x619/0x800<br /> Lectura de tamaño 4 en la dirección ffff888102c50134 por la tarea kworker/u8:6/63<br /> <br /> CPU: 0 UID: 0 PID: 63 Comm: kworker/u8:6 No contaminado 6.18.0-rc2-enjuk-tnguy-00378-g3005f5b77652-dirty #156 PREEMPT(voluntario)<br /> Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2 04/01/2014<br /> Cola de trabajo: iavf iavf_watchdog_task<br /> Traza de llamadas:<br /> <br /> dump_stack_lvl+0x6f/0xb0<br /> print_report+0x170/0x4f3<br /> kasan_report+0xe1/0x1a0<br /> iavf_config_rss+0x619/0x800<br /> iavf_watchdog_task+0x2be7/0x3230<br /> process_one_work+0x7fd/0x1420<br /> worker_thread+0x4d1/0xd40<br /> kthread+0x344/0x660<br /> ret_from_fork+0x249/0x320<br /> ret_from_fork_asm+0x1a/0x30<br /> <br /> <br /> Asignado por la tarea 63:<br /> kasan_save_stack+0x30/0x50<br /> kasan_save_track+0x14/0x30<br /> __kasan_kmalloc+0x7f/0x90<br /> __kmalloc_noprof+0x246/0x6f0<br /> iavf_watchdog_task+0x28fc/0x3230<br /> process_one_work+0x7fd/0x1420<br /> worker_thread+0x4d1/0xd40<br /> kthread+0x344/0x660<br /> ret_from_fork+0x249/0x320<br /> ret_from_fork_asm+0x1a/0x30<br /> <br /> La dirección con error pertenece al objeto en ffff888102c50100<br /> el cual pertenece a la caché kmalloc-64 de tamaño 64<br /> La dirección con error está ubicada 0 bytes a la derecha de<br /> la región asignada de 52 bytes [ffff888102c50100, ffff888102c50134)<br /> <br /> La dirección con error pertenece a la página física:<br /> página: refcount:0 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x102c50<br /> flags: 0x200000000000000(node=0|zone=2)<br /> page_type: f5(slab)<br /> raw: 0200000000000000 ffff8881000418c0 dead000000000122 0000000000000000<br /> raw: 0000000000000000 0000000080200020 00000000f5000000 0000000000000000<br /> página volcada porque: kasan: acceso incorrecto detectado<br /> <br /> Estado de la memoria alrededor de la dirección con error:<br /> ffff888102c50000: 00 00 00 00 00 00 00 fc fc fc fc fc fc fc fc fc<br /> ffff888102c50080: 00 00 00 00 00 00 00 fc fc fc fc fc fc fc fc fc<br /> &amp;gt;ffff888102c50100: 00 00 00 00 00 00 04 fc fc fc fc fc fc fc fc fc<br /> ^<br /> ffff888102c50180: 00 00 00 00 00 00 00 00 fc fc fc fc fc fc fc fc<br /> ffff888102c50200: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> mptcp: retroceso más temprano en conexión simultánea<br /> <br /> Syzkaller informa una condición de carrera de conexión simultánea que lleva a un estado de retroceso inconsistente:<br /> <br /> WARNING: CPU: 3 PID: 33 at net/mptcp/subflow.c:1515 subflow_data_ready+0x40b/0x7c0 net/mptcp/subflow.c:1515<br /> Modules linked in:<br /> CPU: 3 UID: 0 PID: 33 Comm: ksoftirqd/3 Not tainted syzkaller #0 PREEMPT(full)<br /> Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014<br /> RIP: 0010:subflow_data_ready+0x40b/0x7c0 net/mptcp/subflow.c:1515<br /> Code: 89 ee e8 78 61 3c f6 40 84 ed 75 21 e8 8e 66 3c f6 44 89 fe bf 07 00 00 00 e8 c1 61 3c f6 41 83 ff 07 74 09 e8 76 66 3c f6 90 &amp;lt;0f&amp;gt; 0b 90 e8 6d 66 3c f6 48 89 df e8 e5 ad ff ff 31 ff 89 c5 89 c6<br /> RSP: 0018:ffffc900006cf338 EFLAGS: 00010246<br /> RAX: 0000000000000000 RBX: ffff888031acd100 RCX: ffffffff8b7f2abf<br /> RDX: ffff88801e6ea440 RSI: ffffffff8b7f2aca RDI: 0000000000000005<br /> RBP: 0000000000000000 R08: 0000000000000005 R09: 0000000000000007<br /> R10: 0000000000000004 R11: 0000000000002c10 R12: ffff88802ba69900<br /> R13: 1ffff920000d9e67 R14: ffff888046f81800 R15: 0000000000000004<br /> FS: 0000000000000000(0000) GS:ffff8880d69bc000(0000) knlGS:0000000000000000<br /> CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> CR2: 0000560fc0ca1670 CR3: 0000000032c3a000 CR4: 0000000000352ef0<br /> Call Trace:<br /> <br /> tcp_data_queue+0x13b0/0x4f90 net/ipv4/tcp_input.c:5197<br /> tcp_rcv_state_process+0xfdf/0x4ec0 net/ipv4/tcp_input.c:6922<br /> tcp_v6_do_rcv+0x492/0x1740 net/ipv6/tcp_ipv6.c:1672<br /> tcp_v6_rcv+0x2976/0x41e0 net/ipv6/tcp_ipv6.c:1918<br /> ip6_protocol_deliver_rcu+0x188/0x1520 net/ipv6/ip6_input.c:438<br /> ip6_input_finish+0x1e4/0x4b0 net/ipv6/ip6_input.c:489<br /> NF_HOOK include/linux/netfilter.h:318 [inline]<br /> NF_HOOK include/linux/netfilter.h:312 [inline]<br /> ip6_input+0x105/0x2f0 net/ipv6/ip6_input.c:500<br /> dst_input include/net/dst.h:471 [inline]<br /> ip6_rcv_finish net/ipv6/ip6_input.c:79 [inline]<br /> NF_HOOK include/linux/netfilter.h:318 [inline]<br /> NF_HOOK include/linux/netfilter.h:312 [inline]<br /> ipv6_rcv+0x264/0x650 net/ipv6/ip6_input.c:311<br /> __netif_receive_skb_one_core+0x12d/0x1e0 net/core/dev.c:5979<br /> __netif_receive_skb+0x1d/0x160 net/core/dev.c:6092<br /> process_backlog+0x442/0x15e0 net/core/dev.c:6444<br /> __napi_poll.constprop.0+0xba/0x550 net/core/dev.c:7494<br /> napi_poll net/core/dev.c:7557 [inline]<br /> net_rx_action+0xa9f/0xfe0 net/core/dev.c:7684<br /> handle_softirqs+0x216/0x8e0 kernel/softirq.c:579<br /> run_ksoftirqd kernel/softirq.c:968 [inline]<br /> run_ksoftirqd+0x3a/0x60 kernel/softirq.c:960<br /> smpboot_thread_fn+0x3f7/0xae0 kernel/smpboot.c:160<br /> kthread+0x3c2/0x780 kernel/kthread.c:463<br /> ret_from_fork+0x5d7/0x6f0 arch/x86/kernel/process.c:148<br /> ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:245<br /> <br /> <br /> El subflujo TCP puede procesar el paquete syn-ack de conexión simultánea después de la transición al estado TCP_FIN1, evitando la verificación de retroceso de MPTCP, ya que la devolución de llamada sk_state_change() no se invoca para transiciones de * -&amp;gt; FIN_WAIT1.<br /> <br /> Eso moverá el socket msk a un estado inconsistente y los próximos datos entrantes alcanzarán el splat reportado.<br /> <br /> Cerrar la condición de carrera moviendo la verificación de retroceso simultáneo en la etapa más temprana posible, es decir, en el momento de la generación del syn-ack.<br /> <br /> Sobre las etiquetas de correcciones: [2] se suponía que también corregiría este problema introducido por [3]. [1] es requerido como dependencia: no fue marcado explícitamente como una corrección, pero lo es y ya ha sido retroportado antes de [3]. En otras palabras, este commit debería ser retroportado hasta [3], incluyendo [2] y [1] si aún no están allí.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> nfsd: corregir fuga de referencia de nfsd_file en nfsd4_add_rdaccess_to_wrdeleg()<br /> <br /> nfsd4_add_rdaccess_to_wrdeleg() sobrescribe incondicionalmente fp-&amp;gt;fi_fds[O_RDONLY] con un nfsd_file recién adquirido. Sin embargo, si el cliente ya tiene una apertura SHARE_ACCESS_READ de una operación OPEN anterior, esta acción sobrescribe el puntero existente sin liberar su referencia, dejando huérfana la referencia anterior.<br /> <br /> Además, la función originalmente almacenaba el mismo puntero nfsd_file tanto en fp-&amp;gt;fi_fds[O_RDONLY] como en fp-&amp;gt;fi_rdeleg_file con una sola referencia. Cuando se ejecuta put_deleg_file(), borra fi_rdeleg_file y llama a nfs4_file_put_access() para liberar el archivo.<br /> <br /> Sin embargo, nfs4_file_put_access() solo libera fi_fds[O_RDONLY] cuando el contador fi_access[O_RDONLY] cae a cero. Si existe otra apertura READ en el archivo, el contador permanece elevado y la referencia nfsd_file de la delegación nunca se libera. Esto potencialmente causa conflictos de apertura en ese archivo.<br /> <br /> Luego, al apagar el servidor, estas fugas hacen que __nfsd_file_cache_purge() encuentre archivos con un recuento de referencias elevado que no pueden ser limpiados, lo que finalmente dispara un BUG() en kmem_cache_destroy() porque todavía hay objetos nfsd_file asignados en esa caché.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> team: corregir la verificación de puerto habilitado en team_queue_override_port_prio_changed()<br /> <br /> Se ha reportado recientemente un error de syzkaller con la siguiente traza:<br /> <br /> list_del corruption, ffff888058bea080-&amp;gt;prev es LIST_POISON2 (dead000000000122)<br /> ------------[ cortar aquí ]------------<br /> ERROR del kernel en lib/list_debug.c:59!<br /> Oops: código de operación inválido: 0000 [#1] SMP KASAN NOPTI<br /> CPU: 3 UID: 0 PID: 21246 Comm: syz.0.2928 No contaminado syzkaller #0 PREEMPT(full)<br /> Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014<br /> RIP: 0010:__list_del_entry_valid_or_report+0x13e/0x200 lib/list_debug.c:59<br /> Code: 48 c7 c7 e0 71 f0 8b e8 30 08 ef fc 90 0f 0b 48 89 ef e8 a5 02 55 fd 48 89 ea 48 89 de 48 c7 c7 40 72 f0 8b e8 13 08 ef fc 90 &amp;lt;0f&amp;gt; 0b 48 89 ef e8 88 02 55 fd 48 89 ea 48 b8 00 00 00 00 00 fc ff<br /> RSP: 0018:ffffc9000d49f370 EFLAGS: 00010286<br /> RAX: 000000000000004e RBX: ffff888058bea080 RCX: ffffc9002817d000<br /> RDX: 0000000000000000 RSI: ffffffff819becc6 RDI: 0000000000000005<br /> RBP: dead000000000122 R08: 0000000000000005 R09: 0000000000000000<br /> R10: 0000000080000000 R11: 0000000000000001 R12: ffff888039e9c230<br /> R13: ffff888058bea088 R14: ffff888058bea080 R15: ffff888055461480<br /> FS: 00007fbbcfe6f6c0(0000) GS:ffff8880d6d0a000(0000) knlGS:0000000000000000<br /> CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> CR2: 000000110c3afcb0 CR3: 00000000382c7000 CR4: 0000000000352ef0<br /> Traza de llamadas:<br /> <br /> __list_del_entry_valid include/linux/list.h:132 [inline]<br /> __list_del_entry include/linux/list.h:223 [inline]<br /> list_del_rcu include/linux/rculist.h:178 [inline]<br /> __team_queue_override_port_del drivers/net/team/team_core.c:826 [inline]<br /> __team_queue_override_port_del drivers/net/team/team_core.c:821 [inline]<br /> team_queue_override_port_prio_changed drivers/net/team/team_core.c:883 [inline]<br /> team_priority_option_set+0x171/0x2f0 drivers/net/team/team_core.c:1534<br /> team_option_set drivers/net/team/team_core.c:376 [inline]<br /> team_nl_options_set_doit+0x8ae/0xe60 drivers/net/team/team_core.c:2653<br /> genl_family_rcv_msg_doit+0x209/0x2f0 net/netlink/genetlink.c:1115<br /> genl_family_rcv_msg net/netlink/genetlink.c:1195 [inline]<br /> genl_rcv_msg+0x55c/0x800 net/netlink/genetlink.c:1210<br /> netlink_rcv_skb+0x158/0x420 net/netlink/af_netlink.c:2552<br /> genl_rcv+0x28/0x40 net/netlink/genetlink.c:1219<br /> netlink_unicast_kernel net/netlink/af_netlink.c:1320 [inline]<br /> netlink_unicast+0x5aa/0x870 net/netlink/af_netlink.c:1346<br /> netlink_sendmsg+0x8c8/0xdd0 net/netlink/af_netlink.c:1896<br /> sock_sendmsg_nosec net/socket.c:727 [inline]<br /> __sock_sendmsg net/socket.c:742 [inline]<br /> ____sys_sendmsg+0xa98/0xc70 net/socket.c:2630<br /> ___sys_sendmsg+0x134/0x1d0 net/socket.c:2684<br /> __sys_sendmsg+0x16d/0x220 net/socket.c:2716<br /> do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline]<br /> do_syscall_64+0xcd/0xfa0 arch/x86/entry/syscall_64.c:94<br /> entry_SYSCALL_64_after_hwframe+0x77/0x7f<br /> <br /> El problema está en este flujo:<br /> 1) El puerto está habilitado, queue_id != 0, en qom_list<br /> 2) El puerto se deshabilita<br /> -&amp;gt; team_port_disable()<br /> -&amp;gt; team_queue_override_port_del()<br /> -&amp;gt; del (eliminado de la lista)<br /> 3) El puerto está deshabilitado, queue_id != 0, no está en ninguna lista<br /> 4) La prioridad cambia<br /> -&amp;gt; team_queue_override_port_prio_changed()<br /> -&amp;gt; verifica: puerto deshabilitado &amp;amp;&amp;amp; queue_id != 0<br /> -&amp;gt; llama a del - encuentra el ERROR ya que ya ha sido eliminado<br /> <br /> Para solucionar esto, cambie la verificación en team_queue_override_port_prio_changed() para que retorne anticipadamente si el puerto no está habilitado.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> RDMA/bnxt_re: Corrección de escritura fuera de límites en bnxt_re_copy_err_stats()<br /> <br /> El commit ef56081d1864 (&amp;#39;RDMA/bnxt_re: actualización de contadores de hardware relacionados con RoCE&amp;#39;) añadió tres nuevos contadores y los colocó después de BNXT_RE_OUT_OF_SEQ_ERR.<br /> <br /> BNXT_RE_OUT_OF_SEQ_ERR actúa como un marcador de límite para la asignación de estadísticas de hardware con diferentes valores de num_counters en dispositivos chip_gen_p5_p7.<br /> <br /> Como resultado, se utilizan BNXT_RE_NUM_STD_COUNTERS al asignar hw_stats, lo que lleva a una escritura fuera de límites en bnxt_re_copy_err_stats().<br /> <br /> Los contadores BNXT_RE_REQ_CQE_ERROR, BNXT_RE_RESP_CQE_ERROR y BNXT_RE_RESP_REMOTE_ACCESS_ERRS son aplicables a hardware genérico, no solo a dispositivos p5/p7.<br /> <br /> Esto se corrige moviendo estos contadores antes de BNXT_RE_OUT_OF_SEQ_ERR para que se incluyan en el conjunto de contadores genéricos.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> drm/xe/oa: Limitar num_syncs para prevenir asignaciones sobredimensionadas<br /> <br /> Los parámetros de apertura de OA no validaban num_syncs, permitiendo que el espacio de usuario pasara valores arbitrariamente grandes, lo que podría llevar a asignaciones excesivas.<br /> <br /> Añadir una comprobación para asegurar que num_syncs no exceda DRM_XE_MAX_SYNCS, devolviendo -EINVAL cuando se viola el límite.<br /> <br /> v2: usar XE_IOCTL_DBG() y eliminar la comprobación duplicada. (Ashutosh)<br /> <br /> (extraído del commit e057b2d2b8d815df3858a87dffafa2af37e5945b)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> tpm: Limitar el número de bancos PCR<br /> <br /> tpm2_get_pcr_allocation() no establece ningún límite superior para el número de bancos. Establecer el límite en ocho bancos para que los valores fuera de límites provenientes de E/S externa causen solo un daño limitado.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: nfc: corrige interbloqueo entre nfc_unregister_device y rfkill_fop_write<br /> <br /> Puede ocurrir un interbloqueo entre nfc_unregister_device() y rfkill_fop_write() debido a la inversión del orden de bloqueo entre device_lock y rfkill_global_mutex.<br /> <br /> El orden de bloqueo problemático es:<br /> <br /> Hilo A (rfkill_fop_write):<br /> rfkill_fop_write()<br /> mutex_lock(&amp;amp;rfkill_global_mutex)<br /> rfkill_set_block()<br /> nfc_rfkill_set_block()<br /> nfc_dev_down()<br /> device_lock(&amp;amp;dev-&amp;gt;dev) &amp;lt;- espera por device_lock<br /> <br /> Hilo B (nfc_unregister_device):<br /> nfc_unregister_device()<br /> device_lock(&amp;amp;dev-&amp;gt;dev)<br /> rfkill_unregister()<br /> mutex_lock(&amp;amp;rfkill_global_mutex) &amp;lt;- espera por rfkill_global_mutex<br /> <br /> Esto crea un escenario clásico de interbloqueo ABBA.<br /> <br /> Soluciona esto moviendo rfkill_unregister() y rfkill_destroy() fuera de la sección crítica de device_lock. Almacena el puntero rfkill en una variable local antes de liberar el bloqueo, luego llama a rfkill_unregister() después de liberar device_lock.<br /> <br /> Este cambio es seguro porque rfkill_fop_write() mantiene rfkill_global_mutex mientras llama a las retrollamadas de rfkill, y rfkill_unregister() también adquiere rfkill_global_mutex antes de la limpieza. Por lo tanto, rfkill_unregister() esperará a que cualquier retrollamada en curso se complete antes de continuar, y device_del() solo se llama después de que rfkill_unregister() retorna, previniendo cualquier uso después de liberación.<br /> <br /> El orden de bloqueo similar en nfc_register_device() (device_lock -&amp;gt; rfkill_global_mutex a través de rfkill_register) es seguro porque durante el registro el dispositivo aún no está en rfkill_list, por lo que no pueden ocurrir operaciones rfkill concurrentes en este dispositivo.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ipv6: corregir un BUG en rt6_get_pcpu_route() bajo PREEMPT_RT<br /> <br /> En kernels PREEMPT_RT, después de que rt6_get_pcpu_route() devuelve NULL, la tarea actual puede ser desalojada. Otra tarea ejecutándose en la misma CPU puede entonces ejecutar rt6_make_pcpu_route() e instalar exitosamente una entrada pcpu_rt. Cuando la primera tarea reanuda la ejecución, su cmpxchg() en rt6_make_pcpu_route() fallará porque rt6i_pcpu ya no es NULL, lo que activa el BUG_ON(prev). Es fácil reproducirlo añadiendo mdelay() después de rt6_get_pcpu_route().<br /> <br /> Usar preempt_disable/enable no es apropiado aquí porque ip6_rt_pcpu_alloc() puede dormir.<br /> <br /> Solucionar esto manejando el fallo de cmpxchg() de forma elegante en PREEMPT_RT: liberar nuestra asignación y devolver el pcpu_rt existente instalado por otra tarea. El BUG_ON es reemplazado por WARN_ON_ONCE para kernels que no son PREEMPT_RT donde tales condiciones de carrera no deberían ocurrir.