Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: um: Se corrige la lectura fuera de los límites en la configuración de LDT syscall_stub_data() espera que el parámetro data_count sea el número de longs, no bytes. ===================================================================== ERROR: KASAN: stack-out-of-bounds in syscall_stub_data+0x70/0xe0 Read of size 128 at addr 000000006411f6f0 by task swapper/1 CPU: 0 PID: 1 Comm: swapper Not tainted 5.18.0+ #18 Call Trace: show_stack.cold+0x166/0x2a7 __dump_stack+0x3a/0x43 dump_stack_lvl+0x1f/0x27 print_report.cold+0xdb/0xf81 kasan_report+0x119/0x1f0 kasan_check_range+0x3a3/0x440 memcpy+0x52/0x140 syscall_stub_data+0x70/0xe0 write_ldt_entry+0xac/0x190 init_new_ldt+0x515/0x960 init_new_context+0x2c4/0x4d0 mm_init.constprop.0+0x5ed/0x760 mm_alloc+0x118/0x170 0x60033f48 do_one_initcall+0x1d7/0x860 0x60003e7b kernel_init+0x6e/0x3d4 new_thread_handler+0x1e7/0x2c0 The buggy address belongs to stack of task swapper/1 and is located at offset 64 in frame: init_new_ldt+0x0/0x960 This frame has 2 objects: [32, 40) 'addr' [64, 80) 'desc' ==================================================================

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: md: No establezca mddev private en NULL en raid0 pers->free En el proceso de detención normal, hace lo siguiente: do_md_stop | __md_stop (pers->free(); mddev->private=NULL) | md_free (free mddev) __md_stop establece mddev->private en NULL después de pers->free. El dispositivo raid se detendrá y la memoria mddev estará libre. Pero en reshape, no libera el mddev y mddev se seguirá usando en el nuevo raid. En reshape, primero establece mddev->private en new_pers y luego ejecuta old_pers->free(). Ahora raid0 establece mddev->private en NULL en raid0_free. El nuevo raid ya no puede funcionar. Entrará en pánico cuando desreferencia mddev->private debido a la desreferencia del puntero NULL. Puede entrar en pánico de esta manera: [63010.814972] ¡ERROR del kernel en drivers/md/raid10.c:928! [63010.819778] invalid opcode: 0000 [#1] PREEMPT SMP NOPTI [63010.825011] CPU: 3 PID: 44437 Comm: md0_resync Kdump: loaded Not tainted 5.14.0-86.el9.x86_64 #1 [63010.833789] Hardware name: Dell Inc. PowerEdge R6415/07YXFK, BIOS 1.15.0 09/11/2020 [63010.841440] RIP: 0010:raise_barrier+0x161/0x170 [raid10] [63010.865508] RSP: 0018:ffffc312408bbc10 EFLAGS: 00010246 [63010.870734] RAX: 0000000000000000 RBX: ffffa00bf7d39800 RCX: 0000000000000000 [63010.877866] RDX: 0000000000000000 RSI: 0000000000000001 RDI: ffffa00bf7d39800 [63010.884999] RBP: 0000000000000000 R08: fffffa4945e74400 R09: 0000000000000000 [63010.892132] R10: ffffa00eed02f798 R11: 0000000000000000 R12: ffffa00bbc435200 [63010.899266] R13: ffffa00bf7d39800 R14: 0000000000000400 R15: 0000000000000003 [63010.906399] FS: 0000000000000000(0000) GS:ffffa00eed000000(0000) knlGS:0000000000000000 [63010.914485] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [63010.920229] CR2: 00007f5cfbe99828 CR3: 0000000105efe000 CR4: 00000000003506e0 [63010.927363] Call Trace: [63010.929822] ? bio_reset+0xe/0x40 [63010.933144] ? raid10_alloc_init_r10buf+0x60/0xa0 [raid10] [63010.938629] raid10_sync_request+0x756/0x1610 [raid10] [63010.943770] md_do_sync.cold+0x3e4/0x94c [63010.947698] md_thread+0xab/0x160 [63010.951024] ? md_write_inc+0x50/0x50 [63010.954688] kthread+0x149/0x170 [63010.957923] ? set_kthread_struct+0x40/0x40 [63010.962107] ret_from_fork+0x22/0x30 Eliminar el código que establece mddev->private en NULL en raid0 puede solucionar el problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: macsec: se corrige el error UAF para real_dev Crea un nuevo dispositivo macsec pero no obtiene la referencia a real_dev. Esto no puede garantizar que real_dev se libere después de macsec. Esto activará el error UAF para real_dev de la siguiente manera: ==================================================================== ERROR: KASAN: use-after-free in macsec_get_iflink+0x5f/0x70 drivers/net/macsec.c:3662 Call Trace: ... macsec_get_iflink+0x5f/0x70 drivers/net/macsec.c:3662 dev_get_iflink+0x73/0xe0 net/core/dev.c:637 default_operstate net/core/link_watch.c:42 [inline] rfc2863_policy+0x233/0x2d0 net/core/link_watch.c:54 linkwatch_do_dev+0x2a/0x150 net/core/link_watch.c:161 Allocated by task 22209: ... alloc_netdev_mqs+0x98/0x1100 net/core/dev.c:10549 rtnl_create_link+0x9d7/0xc00 net/core/rtnetlink.c:3235 veth_newlink+0x20e/0xa90 drivers/net/veth.c:1748 Freed by task 8: ... kfree+0xd6/0x4d0 mm/slub.c:4552 kvfree+0x42/0x50 mm/util.c:615 device_release+0x9f/0x240 drivers/base/core.c:2229 kobject_cleanup lib/kobject.c:673 [inline] kobject_release lib/kobject.c:704 [inline] kref_put include/linux/kref.h:65 [inline] kobject_put+0x1c8/0x540 lib/kobject.c:721 netdev_run_todo+0x72e/0x10b0 net/core/dev.c:10327 After commit faab39f63c1f ("net: allow out-of-order netdev unregistration") and commit e5f80fcf869a ("ipv6: give an IPv6 dev to blackhole_netdev"), we can add dev_hold_track() in macsec_dev_init() and dev_put_track() in macsec_free_netdev() to fix the problem.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: driver: base: fix UAF when driver_attach failed Cuando driver_attach(drv); falla, se libera driver_private. Pero se ha añadido al bus, lo que ha provocado un UAF. Para solucionarlo, debemos eliminarlo del bus cuando falla.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ubi: ubi_create_volume: Se corrige el problema de use-after-free cuando falla la creación del volumen Hay un problema de use-after-free para 'eba_tbl' en la ruta de gestión de errores de ubi_create_volume(): ubi_eba_replace_table(vol, eba_tbl) vol->eba_tbl = tbl out_mapping: ubi_eba_destroy_table(eba_tbl) // Libera 'eba_tbl' out_unlock: put_device(&vol->dev) vol_release kfree(tbl->entries) // UAF Arréglalo eliminando la liberación redundante de 'eba_tbl'. Obtén un reproductor en [Enlace].

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: fix list iterator in fastrpc_req_mem_unmap_impl Este es otro ejemplo de uso incorrecto del iterador de lista y verificación de NULL. El valor del iterador de lista 'map' *siempre* se establecerá y no será NULL por list_for_each_entry(), por lo que es incorrecto asumir que el valor del iterador será NULL si la lista está vacía (en este caso, la verificación 'if (!map) {' siempre será falsa y nunca saldrá como se esperaba). Para corregir el error, use una nueva variable 'iter' como iterador de lista, mientras usa la variable original 'map' como un puntero dedicado para apuntar al elemento encontrado. Sin este parche, el kernel se bloquea con el siguiente seguimiento: No se puede gestionar el acceso del kernel a la memoria del usuario fuera de las rutinas uaccess en la dirección virtual 0000ffff7fb03750 ... Call trace: fastrpc_map_create+0x70/0x290 [fastrpc] fastrpc_req_mem_map+0xf0/0x2dc [fastrpc] fastrpc_device_ioctl+0x138/0xc60 [fastrpc] __arm64_sys_ioctl+0xa8/0xec invoke_syscall+0x48/0x114 el0_svc_common.constprop.0+0xd4/0xfc do_el0_svc+0x28/0x90 el0_svc+0x3c/0x130 el0t_64_sync_handler+0xa4/0x130 el0t_64_sync+0x18c/0x190 Code: 14000016 f94000a5 eb05029f 54000260 (b94018a6) ---[ end trace 0000000000000000 ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: blk-iolatency: corrige los desequilibrios de recuento en vuelo y los bloqueos de IO en modo sin conexión iolatency necesita rastrear la cantidad de IO en vuelo por cgroup. Como este seguimiento puede ser costoso, se deshabilita cuando ningún cgroup tiene iolatency configurado para el dispositivo. Para garantizar que los contadores en vuelo se mantengan equilibrados, iolatency_set_limit() congela la request_queue mientras manipula el contador habilitado, lo que garantiza que no haya IO en vuelo y, por lo tanto, todos los contadores sean cero. Desafortunadamente, iolatency_set_limit() no es el único lugar donde se manipula el contador habilitado. iolatency_pd_offline() también puede dec el contador y activar la desactivación. Como esta desactivación ocurre sin congelar el q, esto puede suceder fácilmente mientras algunas IO están en vuelo y, por lo tanto, filtrar los recuentos. Esto se puede demostrar fácilmente activando iolatency en un cgroup vacío mientras los IO están en tránsito en otros cgroups y luego eliminando el cgroup. Tenga en cuenta que iolatency no debería haberse habilitado en ninguna otra parte del sistema para garantizar que la eliminación del cgroup deshabilite iolatency para todo el dispositivo. Lo siguiente sigue activando y desactivando iolatency on sda: echo +io > /sys/fs/cgroup/cgroup.subtree_control while true; do mkdir -p /sys/fs/cgroup/test echo '8:0 target=100000' > /sys/fs/cgroup/test/io.latency sleep 1 rmdir /sys/fs/cgroup/test sleep 1 done and there's concurrent fio generating direct rand reads: fio --name test --filename=/dev/sda --direct=1 --rw=randread \ --runtime=600 --time_based --iodepth=256 --numjobs=4 --bs=4k while monitoring with the following drgn script: while True: for css in css_for_each_descendant_pre(prog['blkcg_root'].css.address_of_()): for pos in hlist_for_each(container_of(css, 'struct blkcg', 'css').blkg_list): blkg = container_of(pos, 'struct blkcg_gq', 'blkcg_node') pd = blkg.pd[prog['blkcg_policy_iolatency'].plid] if pd.value_() == 0: continue iolat = container_of(pd, 'struct iolatency_grp', 'pd') inflight = iolat.rq_wait.inflight.counter.value_() if inflight: print(f'inflight={inflight} {disk_name(blkg.q.disk).decode("utf-8")} ' f'{cgroup_path(css.cgroup).decode("utf-8")}') time.sleep(1) The monitoring output looks like the following: inflight=1 sda /user.slice inflight=1 sda /user.slice ... inflight=14 sda /user.slice inflight=13 sda /user.slice inflight=17 sda /user.slice inflight=15 sda /user.slice inflight=18 sda /user.slice inflight=17 sda /user.slice inflight=20 sda /user.slice inflight=19 sda /user.slice <- fio stopped, inflight stuck at 19 inflight=19 sda /user.slice inflight=19 sda /user.slice Si un cgroup con inflight atascado termina siendo limitado, las IO limitadas nunca se emitirán ya que no hay un evento de finalización para despertarlo, lo que genera un bloqueo indefinido. Este parche corrige el error al unificar la gestión de habilitación en un elemento de trabajo que se inicia automáticamente desde iolatency_set_min_lat_nsec(), que se llama desde las rutas iolatency_set_limit() y iolatency_pd_offline(). Es necesario apuntar a un elemento de trabajo ya que iolatency_pd_offline() se llama bajo bloqueos de giro, mientras que congelar una cola de solicitudes requiere un contexto que se pueda suspender. Esto también simplifica el código, lo que reduce el LOC sin los comentarios y evita los bloqueos innecesarios que ocurrían cada vez que se configuraba o borraba el objetivo de latencia de un cgroup.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: md: se corrige la doble liberación de io_acct_set bioset Ahora io_acct_set está asignado y libre en la personalidad. Elimine los códigos que liberan io_acct_set en md_free y md_stop.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ethernet: ti: am65-cpsw-nuss: Se corrigen algunas fugas de refcount of_get_child_by_name() devuelve un puntero de nodo con refcount incrementado, deberíamos usar of_node_put() en él cuando ya no lo necesitemos. am65_cpsw_init_cpts() y am65_cpsw_nuss_probe() no liberan el refcount en caso de error. Agregue of_node_put() faltante para evitar la fuga de refcount.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: watchdog: rzg2l_wdt: soluciona el problema de desbordamiento de 32 bits El valor de timer_cycle_us puede ser 0 debido al desbordamiento de 32 bits. Por ejemplo: si asignamos el valor del contador "0xfff" para calcular maxval. Este parche soluciona este problema añadiendo ULL a 1024, de modo que se promueva a 64 bits. Este parche también soluciona el mensaje de advertencia, 'watchdog: Invalid min and max timeout values, resetting to 0!'.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: usbip: se corrige una pérdida de recuento de referencias en stub_probe(). Se llama a usb_get_dev() en stub_device_alloc(). Cuando stub_probe() falla después de eso, se debe llamar a usb_put_dev() para liberar la referencia. Corrija esto moviendo usb_put_dev() a la gestión de la ruta de error sdev_free. Encuentre esto mediante la revisión del código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: remoteproc: mtk_scp: Se corrige una posible doble liberación: 'scp->rproc' se asigna mediante devm_rproc_alloc(), por lo que no es necesario liberarlo explícitamente en la función de eliminación.