Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mlxsw: spectrum: Proteger contra puertos locales no válidos Al procesar eventos generados por el firmware del dispositivo, el controlador se protege a sí mismo de los eventos informados para puertos locales inexistentes, pero no para el puerto de la CPU (puerto local 0), que existe, pero no tiene todos los campos como cualquier puerto local. Esto puede resultar en una desreferencia de puntero NULL al intentar acceder a los campos 'struct mlxsw_sp_port' que no están inicializados para el puerto de la CPU. el commit 63b08b1f6834 ("mlxsw: spectrum: Proteger al controlador del firmware con errores") ya manejó este problema al abandonar temprano al procesar un evento PUDE informado para el puerto de la CPU. Generalice el enfoque moviendo la verificación a una función común y haciendo uso de ella en todos los lugares relevantes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: mhi: use mhi_sync_power_up() Si faltaba amss.bin, ath11k se bloquearía durante 'rmmod ath11k_pci'. La razón de esto era que estábamos usando mhi_async_power_up() que no verifica ningún error. Pero mhi_sync_power_up(), por otro lado, verifica errores, así que usémoslo para solucionar el bloqueo. No pude encontrar una razón por la que se usó una versión asincrónica. ath11k_mhi_start() (que habilita el estado ATH11K_MHI_POWER_ON) se llama desde ath11k_hif_power_up(), que puede dormir. Por lo tanto, la versión sincronizada debería ser segura de usar aquí. [ 145.569731] Fallo de protección general, probablemente para la dirección no canónica 0xdffffc0000000000: 0000 [#1] PREEMPT SMP DEBUG_PAGEALLOC KASAN PTI [ 145.569789] KASAN: null-ptr-deref en el rango [0x000000000000000-0x0000000000000007] [ 145.569843] CPU: 2 PID: 1628 Comm: rmmod Kdump: cargado Tainted: GW 5.16.0-wt-ath+ #567 [ 145.569898] Nombre del hardware: Intel(R) Client Systems NUC8i7HVK/NUC8i7HVB, BIOS HNKBLi70.86A.0067.2021.0528.1339 28/05/2021 [145.569956] RIP: 0010:ath11k_hal_srng_access_begin+0xb5/0x2b0 [ath11k] [145.570028] Código: df 48 89 fa 48 c1 ea 03 80 3c 02 00 0f 85 ec 01 00 00 48 8b ab a8 00 00 00 48 b8 00 00 00 00 00 fc ff df 48 89 ea 48 c1 ea 03 <0f> b6 14 02 48 89 e8 83 e0 07 83 c0 03 45 85 ed 75 48 38 d0 7c 08 [ 145.570089] RSP: 0018:ffffc900025d7ac0 EFLAGS: 00010246 [ 145.570144] RAX: dffffc0000000000 RBX: ffff88814fca2dd8 RCX: 1ffffffff50cb455 [ 145.570196] RDX: 0000000000000000 RSI: ffff88814fca2dd8 RDI: ffff88814fca2e80 [ 145.570252] RBP: 0000000000000000 R08: 0000000000000000 R09: ffffffffa8659497 [ 145.570329] R10: fffffbfff50cb292 R11: 0000000000000001 R12: ffff88814fca0000 [ 145.570410] R13: 000000000000000 R14: ffff88814fca2798 R15: ffff88814fca2dd8 [ 145.570465] FS: 00007fa399988540(0000) GS:ffff888233e00000(0000) knlGS:0000000000000000 [ 145.570519] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 145.570571] CR2: 00007fa399b51421 CR3: 0000000137898002 CR4: 00000000003706e0 [ 145.570623] Rastreo de llamadas: [ 145.570675] [ 145.570727] ? ath11k_ce_tx_process_cb+0x34b/0x860 [ath11k] [145.570797] ath11k_ce_tx_process_cb+0x356/0x860 [ath11k] [145.570864]? tasklet_init+0x150/0x150 [145.570919]? ath11k_ce_alloc_pipes+0x280/0x280 [ath11k] [145.570986]? tasklet_clear_sched+0x42/0xe0 [145.571042]? tasklet_kill+0xe9/0x1b0 [145.571095]? irq_has_action+0x120/0x120 [ 145.571202] ath11k_ce_cleanup_pipes+0x45a/0x580 [ath11k] [ 145.571270] ? ath11k_pci_stop+0x10e/0x170 [ath11k_pci] [ 145.571345] ath11k_core_stop+0x8a/0xc0 [ath11k] [ 145.571434] ath11k_core_deinit+0x9e/0x150 [ath11k] [ 145.571499] ath11k_pci_remove+0xd2/0x260 [ath11k_pci] [ 145.571553] pci_device_remove+0x9a/0x1c0 [ 145.571605] __device_release_driver+0x332/0x660 [ 145.571659] driver_detach+0x1e7/0x2c0 [ 145.571712] bus_remove_driver+0xe2/0x2d0 [ 145.571772] pci_unregister_driver+0x21/0x250 [ 145.571826] __do_sys_delete_module+0x30a/0x4b0 [ 145.571879] ? free_module+0xac0/0xac0 [ 145.571933] ? lockdep_hardirqs_on_prepare.part.0+0x18c/0x370 [ 145.571986] ? syscall_enter_from_user_mode+0x1d/0x50 [ 145.572039] ? lockdep_hardirqs_on+0x79/0x100 [ 145.572097] do_syscall_64+0x3b/0x90 [ 145.572153] entry_SYSCALL_64_after_hwframe+0x44/0xae Probado en: WCN6855 hw2.0 PCI WLAN.HSP.1.1-03003-QCAHSPSWPL_V1_V2_SILICONZ_LITE-2

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: corrige el pánico del kernel durante la descarga/carga de módulos ath11k Llame a netif_napi_del() desde ath11k_ahb_free_ext_irq() para corregir el siguiente pánico del kernel al descargar/cargar módulos ath11k durante algunas iteraciones. [ 971.201365] No se puede manejar la solicitud de paginación del núcleo en la dirección virtual 6d97a208 [ 971.204227] pgd = 594c2919 [ 971.211478] [6d97a208] *pgd=00000000 [ 971.214120] Error interno: Oops: 5 [#1] PREEMPT SMP ARM [ 971.412024] CPU: 2 PID: 4435 Comm: insmod No contaminado 5.4.89 #0 [ 971.434256] Nombre del hardware: Sistema genérico basado en DT [ 971.440165] La PC está en napi_by_id+0x10/0x40 [ 971.445019] LR está en netif_napi_add+0x160/0x1dc [ 971.743127] (napi_by_id) desde [<807d89a0>] (netif_napi_add+0x160/0x1dc) [ 971.751295] (netif_napi_add) desde [<7f1209ac>] (ath11k_ahb_config_irq+0xf8/0x414 [ath11k_ahb]) [ 971.759164] (ath11k_ahb_config_irq [ath11k_ahb]) desde [<7f12135c>] (ath11k_ahb_probe+0x40c/0x51c [ath11k_ahb]) [ 971.768567] (ath11k_ahb_probe [ath11k_ahb]) desde [<80666864>] (platform_drv_probe+0x48/0x94) [ 971.779670] (platform_drv_probe) desde [<80664718>] (really_probe+0x1c8/0x450) [ 971.789389] (really_probe) desde [<80664cc4>] (driver_probe_device+0x15c/0x1b8) [ 971.797547] (driver_probe_device) desde [<80664f60>] (device_driver_attach+0x44/0x60) [ 971.805795] (device_driver_attach) desde [<806650a0>] (__driver_attach+0x124/0x140) [ 971.814822] (__driver_attach) desde [<80662adc>] (bus_for_each_dev+0x58/0xa4) [ 971.823328] (bus_for_each_dev) desde [<80663a2c>] (bus_add_driver+0xf0/0x1e8) [ 971.831662] (bus_add_driver) desde [<806658a4>] (driver_register+0xa8/0xf0) [ 971.839822] (driver_register) desde [<8030269c>] (do_one_initcall+0x78/0x1ac) [ 971.847638] (do_one_initcall) desde [<80392524>] (do_init_module+0x54/0x200) [ 971.855968] (do_init_module) desde [<803945b0>] (load_module+0x1e30/0x1ffc) [ 971.864126] (load_module) desde [<803948b0>] (sys_init_module+0x134/0x17c) [ 971.871852] (sys_init_module) desde [<80301000>] (ret_fast_syscall+0x0/0x50) Probado en: IPQ8074 hw2.0 AHB WLAN.HK.2.6.0.1-00760-QCAHKSWPL_SILICONZ-1

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/bridge: Agregar la función pm_runtime_put_sync que falta pm_runtime_get_sync() aumentará el contador de PM en tiempo de ejecución incluso cuando devuelva un error. Por lo tanto, se necesita una disminución de emparejamiento para evitar la fuga de refcount. Solucione esto reemplazando esta API con pm_runtime_resume_and_get(), que no cambiará el contador de PM en tiempo de ejecución en caso de error. Además, se necesita una disminución coincidente en la ruta de manejo de errores para mantener el contador equilibrado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: pci: se corrige el fallo en suspensión si no se encuentra el archivo de la placa Mario informó que el kernel se bloqueaba en suspensión si ath11k no podía encontrar un archivo de placa: [ 473.693286] PM: Suspendiendo el sistema (s2idle) [ 473.693291] printk: Suspendiendo consola(s) (use no_console_suspend para depurar) [ 474.407787] ERROR: no se puede manejar el error de página para la dirección: 0000000000002070 [ 474.407791] #PF: acceso de lectura de supervisor en modo kernel [ 474.407794] #PF: error_code(0x0000) - página no presente [ 474.407798] PGD 0 P4D 0 [ 474.407801] Ups: 0000 [#1] PREEMPT SMP NOPTI [ 474.407805] CPU: 2 PID: 2350 Comm: kworker/u32:14 Contaminado: GW 5.16.0 #248 [...] [ 474.407868] Rastreo de llamadas: [ 474.407870] [ 474.407874] ? _raw_spin_lock_irqsave+0x2a/0x60 [ 474.407882] ? lock_timer_base+0x72/0xa0 [ 474.407889] ? _raw_spin_unlock_irqrestore+0x29/0x3d [ 474.407892] ? try_to_del_timer_sync+0x54/0x80 [ 474.407896] ath11k_dp_rx_pktlog_stop+0x49/0xc0 [ath11k] [ 474.407912] ath11k_core_suspend+0x34/0x130 [ath11k] [ 474.407923] ath11k_pci_pm_suspend+0x1b/0x50 [ath11k_pci] [ 474.407928] pci_pm_suspend+0x7e/0x170 [ 474.407935] ? pci_pm_freeze+0xc0/0xc0 [ 474.407939] dpm_run_callback+0x4e/0x150 [ 474.407947] __device_suspend+0x148/0x4c0 [ 474.407951] async_suspend+0x20/0x90 dmesg-efi-164255130401001: Ups #1 Parte 1 [ 474.407955] async_run_entry_fn+0x33/0x120 [ 474.407959] process_one_work+0x220/0x3f0 [ 474.407966] worker_thread+0x4a/0x3d0 [ 474.407971] kthread+0x17a/0x1a0 [ 474.407975] ? process_one_work+0x3f0/0x3f0 [ 474.407979] ? set_kthread_struct+0x40/0x40 [ 474.407983] ret_from_fork+0x22/0x30 [ 474.407991] El problema aquí es que la carga del archivo de la placa ocurre después de que ath11k_pci_probe() retorna exitosamente (la inicialización de ath11k ocurre de manera asincrónica) y el controlador de suspensión aún está habilitado, por supuesto fallando ya que ath11k no está inicializado correctamente. Solucione esto marcando ATH11K_FLAG_QMI_FAIL durante la suspensión y la reanudación. Probado en: WCN6855 hw2.0 PCI WLAN.HSP.1.1-03003-QCAHSPSWPL_V1_V2_SILICONZ_LITE-2

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdkfd: bloqueo del trabajo de restauración de rango de svm cuando el proceso sale kfd_process_notifier_release limpia svm_range_restore_work que llama a svm_range_list_lock_and_flush_work para limpiar el trabajo de deferred_list, pero si el trabajo de deferred_list mmput libera al último usuario, llamará a exit_mmap -> notifier_release, es un bloqueo con el siguiente backtrace. Mueva el vaciado de svm_range_restore_work a kfd_process_wq_release para evitar el bloqueo. Luego, svm_range_restore_work toma la referencia task->mm para evitar que mm desaparezca mientras se validan y asignan rangos a la GPU. Cola de trabajo: eventos svm_range_deferred_list_work [amdgpu] Seguimiento de llamadas: wait_for_completion+0x94/0x100 __flush_work+0x12a/0x1e0 __cancel_work_timer+0x10e/0x190 cancel_delayed_work_sync+0x13/0x20 kfd_process_notifier_release+0x98/0x2a0 [amdgpu] __mmu_notifier_release+0x74/0x1f0 exit_mmap+0x170/0x200 mmput+0x5d/0x130 svm_range_deferred_list_work+0x104/0x230 [amdgpu] process_one_work+0x220/0x3c0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: mpi3mr: Corrige pérdidas de memoria Corrige pérdidas de memoria relacionadas con los segmentos de memoria de la cola de respuesta operativa que no se liberan al descargar el controlador.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/sprd: se corrige la posible desreferenciación NULL 'drm' podría ser nulo en sprd_drm_shutdown, y drm_warn podría desreferenciarlo, elimine este registro de advertencia. v1 -> v2: - Dividir la verificación del valor de retorno de platform_get_resource() en un parche separado - Usar dev_warn() en lugar de eliminar el registro de advertencia

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: Se corrige el error de vaciado de marcos causado por un bloqueo Vemos las siguientes advertencias: kernel: [25393.301506] ath11k_pci 0000:01:00.0: no se pudo vaciar la cola de transmisión mgmt 0 kernel: [25398.421509] ath11k_pci 0000:01:00.0: no se pudo vaciar la cola de transmisión mgmt 0 kernel: [25398.421831] ath11k_pci 0000:01:00.0: descartando marco mgmt para vdev 0, is_started 0 esto significa que ath11k no puede vaciar los marcos mgmt porque wmi_mgmt_tx_work no tiene posibilidad de ejecutarse en 5 segundos. Al establecer /proc/sys/kernel/hung_task_timeout_secs en 20 y aumentar ATH11K_FLUSH_TIMEOUT a 50 obtenemos las siguientes advertencias: kernel: [ 120.763160] INFO: tarea wpa_supplicant:924 bloqueada por más de 20 segundos. kernel: [ 120.763169] No contaminado 5.10.90 #12 kernel: [ 120.763177] "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" deshabilita este mensaje. kernel: [ 120.763186] tarea:wpa_supplicant estado:D pila: 0 pid: 924 ppid: 1 indicadores:0x000043a0 kernel: [ 120.763201] Seguimiento de llamadas: kernel: [ 120.763214] __schedule+0x785/0x12fa kernel: [ 120.763224] ? lockdep_hardirqs_on_prepare+0xe2/0x1bb kernel: [ 120.763242] schedule+0x7e/0xa1 kernel: [ 120.763253] schedule_timeout+0x98/0xfe kernel: [ 120.763266] ? run_local_timers+0x4a/0x4a kernel: [ 120.763291] ath11k_mac_flush_tx_complete+0x197/0x2b1 [ath11k 13c3a9bf37790f4ac8103b3decf7ab4008ac314a] kernel: [ 120.763306] ? init_wait_entry+0x2e/0x2e kernel: [ 120.763343] __ieee80211_flush_queues+0x167/0x21f [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763378] __ieee80211_recalc_idle+0x105/0x125 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763411] ieee80211_recalc_idle+0x14/0x27 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763441] ieee80211_free_chanctx+0x77/0xa2 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763473] __ieee80211_vif_release_channel+0x100/0x131 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763540] ieee80211_vif_release_channel+0x66/0x81 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763572] ieee80211_destroy_auth_data+0xa3/0xe6 [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763612] ieee80211_mgd_deauth+0x178/0x29b [mac80211 335da900954f1c5ea7f1613d92088ce83342042c] kernel: [ 120.763654] cfg80211_mlme_deauth+0x1a8/0x22c [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763697] nl80211_deauthenticate+0xfa/0x123 [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763715] genl_rcv_msg+0x392/0x3c2 kernel: [ 120.763750] ? nl80211_associate+0x432/0x432 [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763782] ? nl80211_associate+0x432/0x432 [cfg80211 8945aa5bc2af5f6972336665d8ad6f9c191ad5be] kernel: [ 120.763802] ? genl_rcv+0x36/0x36 kernel: [ 120.763814] netlink_rcv_skb+0x89/0xf7 kernel: [ 120.763829] genl_rcv+0x28/0x36 kernel: [ 120.763840] netlink_unicast+0x179/0x24b kernel: [ 120.763854] netlink_sendmsg+0x393/0x401 kernel: [ 120.763872] sock_sendmsg+0x72/0x76 kernel: [ 120.763886] ____sys_sendmsg+0x170/0x1e6 kernel: [ 120.763897] ? copy_msghdr_from_user+0x7a/0xa2 kernel: [ 120.763914] ___sys_sendmsg+0x95/0xd1 kernel: [ 120.763940] __sys_sendmsg+0x85/0xbf kernel: [ 120.763956] do_syscall_64+0x43/0x55 kernel: [ 120.763966] entry_SYSCALL_64_after_hwframe+0x44/0xa9 kernel: [ 120.763977] RIP: 0033:0x79089f3fcc83 kernel: [ 120.763986] RSP: 002b:00007ffe604f0508 EFLAGS: 00000246 ORIG_RAX: 000000000000002e núcleo: [ 120.763997] RAX: ffffffffffffffda RBX: 000059b40e987690 RCX: 000079089f3fcc83 núcleo: [ 120.764006] RDX: 0000000000000000 RSI: 00007ffe604f0558 RDI: 0000000000000009 núcleo: [ 120.764014] RBP: 00007ffe604f0540 R08: 0000000000000004 R09: 0000000000400000 núcleo: [ 120.764023] R10: 00007ffe604f0638 R11: 0000000000000246 R12: 000059b40ea04980 núcleo: [ 120.764032] R13: 00007ffe604 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: pm8001: Se corrige la pérdida de memoria en pm8001_chip_fw_flash_update_req() En pm8001_chip_fw_flash_update_build(), si pm8001_chip_fw_flash_update_build() falla, la estructura fw_control_ex asignada debe liberarse.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mips: ralink: corrige una pérdida de recuento de referencias en ill_acc_of_setup(). Se debe llamar a of_node_put(np) cuando pdev == NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: hisi_sas: Vectores IRQ libres para hardware v3 Si la sonda del controlador no solicita la IRQ del canal o la IRQ fatal, el controlador liberará los vectores IRQ antes de liberar las IRQ en free_irq(), y esto provocará un ERROR del kernel como este: ------------[ corte aquí ]------------ ¡ERROR del kernel en drivers/pci/msi.c:369! Error interno: Ups - ERROR: 0 [#1] PREEMPT Seguimiento de llamadas SMP: free_msi_irqs+0x118/0x13c pci_disable_msi+0xfc/0x120 pci_free_irq_vectors+0x24/0x3c hisi_sas_v3_probe+0x360/0x9d0 [hisi_sas_v3_hw] local_pci_probe+0x44/0xb0 work_for_cpu_fn+0x20/0x34 process_one_work+0x1d0/0x340 worker_thread+0x2e0/0x460 kthread+0x180/0x190 ret_from_fork+0x10/0x20 ---[ fin del seguimiento b88990335b610c11 ]--- Entonces Usamos devm_add_action() para controlar el orden en que liberamos los vectores.