Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: USB: hub: Ignorar dispositivos no compatibles con demasiadas configuraciones o interfaces Robert Morris creó un programa de prueba que puede hacer que usb_hub_to_struct_hub() desreferenciara un puntero NULL o inapropiado: Ups: error de protección general, probablemente para una dirección no canónica 0xcccccccccccccccc: 0000 [#1] SMP DEBUG_PAGEALLOC PTI CPU: 7 UID: 0 PID: 117 Comm: kworker/7:1 No contaminado 6.13.0-rc3-00017-gf44d154d6e3d #14 Nombre del hardware: FreeBSD BHYVE/BHYVE, BIOS 14.0 17/10/2021 Cola de trabajo: usb_hub_wq hub_event RIP: 0010:usb_hub_adjust_deviceremovable+0x78/0x110 ... Seguimiento de llamadas: ? die_addr+0x31/0x80 ? exc_general_protection+0x1b4/0x3c0 ? asm_exc_general_protection+0x26/0x30 ? usb_hub_adjust_deviceremovable+0x78/0x110 hub_probe+0x7c7/0xab0 usb_probe_interface+0x14b/0x350 really_probe+0xd0/0x2d0 ? __pfx___device_attach_driver+0x10/0x10 __driver_probe_device+0x6e/0x110 driver_probe_device+0x1a/0x90 __device_attach_driver+0x7e/0xc0 bus_for_each_drv+0x7f/0xd0 __device_attach+0xaa/0x1a0 bus_probe_device+0x8b/0xa0 device_add+0x62e/0x810 usb_set_configuration+0x65d/0x990 usb_generic_driver_probe+0x4b/0x70 usb_probe_device+0x36/0xd0 La causa de este error es que el dispositivo tiene dos interfaces y el controlador del concentrador se vincula a la interfaz 1 en lugar de a la interfaz 0, que es donde usb_hub_to_struct_hub() analiza. Podemos evitar que se produzca el problema si nos negamos a aceptar dispositivos concentradores que violen la especificación USB al tener más de una configuración o interfaz.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: batman-adv: se corrige el pánico durante la eliminación de la interfaz. El recuento de referencias se utiliza para garantizar que batadv_hardif_neigh_node y batadv_hard_iface no se liberen antes o durante la finalización del trabajo de batadv_v_elp_throughput_metric_update. Pero no hay garantía de que el if duro permanezca asociado con una interfaz blanda hasta que finalice el trabajo. Esto corrige un fallo provocado por el reinicio que se parece a esto: Seguimiento de llamada: batadv_v_mesh_free+0xd0/0x4dc [batman_adv] batadv_v_elp_throughput_metric_update+0x1c/0xa4 process_one_work+0x178/0x398 worker_thread+0x2e8/0x4d0 kthread+0xd8/0xdc ret_from_fork+0x10/0x20 (la llamada batadv_v_mesh_free es engañosa y en realidad no sucede) Pude hacer que el problema sucediera de manera más confiable al cambiar hardif_neigh->bat_v.metric_work work para que sea delayed work. Esto me permitió rastrear y confirmar la solución. [sven@narfation.org: evitar ingresar batadv_v_elp_get_throughput sin soft_iface]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ring-buffer: validar la matriz de subbuf de metadatos persistentes Los metadatos de un búfer de anillo asignado contienen una matriz de índices de todos los subbúferes. La primera entrada es la página del lector y el resto de las entradas establecen el orden de los subbúferes en cómo se creará la lista de enlaces del búfer de anillo. El validador actualmente se asegura de que todas las entradas estén dentro del rango de 0 y nr_subbufs. Pero no verifica si hay duplicados. Mientras trabajaba en el búfer de anillo, corrompí esta matriz, donde agregué duplicados. El validador no lo detectó y creó la lista de enlaces del búfer de anillo encima. Afortunadamente, la corrupción fue solo que la página del lector también estaba en la ruta del escritor y solo presentó datos corruptos pero no bloqueó el kernel. Pero si había duplicados en el lado del escritor, entonces podría corromper la lista de enlaces del búfer de anillo y causar un bloqueo. Cree una matriz de máscara de bits con el tamaño del número de subbúferes. Luego, bórrelo. Al recorrer la matriz subbuf para verificar si las entradas están dentro del rango, verifique si su bit ya está configurado en subbuf_mask. Si es así, entonces hay duplicados y falla la validación. Si no es así, configure el bit correspondiente y continúe.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tracing: No permitir mmap() de búfer de anillo persistente Al intentar mmap un búfer de instancia de seguimiento que está adjunto a reserve_mem, se bloquearía: BUG: no se puede manejar el error de página para la dirección: ffffe97bd00025c8 #PF: acceso de lectura de supervisor en modo kernel #PF: error_code(0x0000) - página no presente PGD 2862f3067 P4D 2862f3067 PUD 0 Oops: Oops: 0000 [#1] PREEMPT_RT SMP PTI CPU: 4 UID: 0 PID: 981 Comm: mmap-rb No contaminado 6.14.0-rc2-test-00003-g7f1a5e3fbf9e-dirty #233 Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2 01/04/2014 RIP: 0010:validate_page_before_insert+0x5/0xb0 Código: e2 01 89 d0 c3 cc cc cc cc 66 66 2e 0f 1f 84 00 00 00 00 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 0f 1f 44 00 00 <48> 8b 46 08 a8 01 75 67 66 90 48 89 f0 8b 50 34 85 d2 74 76 48 89 RSP: 0018:ffffb148c2f3f968 EFLAGS: 00010246 RAX: ffff9fa5d3322000 RBX: ffff9fa5ccff9c08 RCX: 00000000b879ed29 RDX: ffffe97bd00025c0 RSI: ffffe97bd00025c0 RDI: ffff9fa5ccff9c08 RBP: ffffb148c2f3f9f0 R08: 000000000000004 R09: 0000000000000004 R10: 0000000000000000 R11: 0000000000000200 R12: 0000000000000000 R13: 00007f16a18d5000 R14: ffff9fa5c48db6a8 R15: 0000000000000000 FS: 00007f16a1b54740(0000) GS:ffff9fa73df00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 000000080050033 CR2: ffffe97bd00025c8 CR3: 00000001048c6006 CR4: 0000000000172ef0 Seguimiento de llamadas: ? __die_body.cold+0x19/0x1f ? __die+0x2e/0x40 ? page_fault_oops+0x157/0x2b0 ? search_module_extables+0x53/0x80 ? validation_page_before_insert+0x5/0xb0 ? kernelmode_fixup_or_oops.isra.0+0x5f/0x70 ? __bad_area_nosemaphore+0x16e/0x1b0 ? bad_area_nosemaphore+0x16/0x20 ? do_kern_addr_fault+0x77/0x90 ? exc_page_fault+0x22b/0x230 ? asm_exc_page_fault+0x2b/0x30 ? validate_page_before_insert+0x5/0xb0 ? vm_insert_pages+0x151/0x400 __rb_map_vma+0x21f/0x3f0 ring_buffer_map+0x21b/0x2f0 tracing_buffers_mmap+0x70/0xd0 __mmap_region+0x6f0/0xbd0 mmap_region+0x7f/0x130 do_mmap+0x475/0x610 vm_mmap_pgoff+0xf2/0x1d0 ksys_mmap_pgoff+0x166/0x200 __x64_sys_mmap+0x37/0x50 x64_sys_call+0x1670/0x1d70 do_syscall_64+0xbb/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f La razón fue que el código que asigna las páginas del búfer de anillo al espacio de usuario tiene: page = virt_to_page((void *)cpu_buffer->subbuf_ids[s]); Y lo usa en: vm_insert_pages(vma, vma->vm_start, pages, &nr_pages); Pero virt_to_page() no funciona con la memoria vmap() que es la que tiene el búfer de anillo persistente. Es bastante trivial permitir esto, pero por ahora simplemente deshabilite mmap() de las instancias que tienen su búfer de anillo desde la opción reserve_mem. Si se realiza un mmap() en un búfer persistente, devolverá -ENODEV tal como lo haría si el campo .mmap no estuviera definido en la estructura file_operations.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: evitar el desbordamiento de búfer adjunto en smu_sys_set_pp_table() Si un usuario malintencionado proporciona una pptable pequeña a través de sysfs y luego una pptable más grande, puede provocar un ataque de desbordamiento de búfer en la función smu_sys_set_pp_table().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: rockchip: rkcanfd_handle_rx_fifo_overflow_int(): salir si no se puede asignar skb Se corrige la comprobación del puntero NULL en rkcanfd_handle_rx_fifo_overflow_int() para salir si no se puede asignar skb.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: ctucanfd: manejar la falla de asignación de skb Si la asignación de skb falla, el puntero a struct can_frame es NULL. Esto se maneja en realidad en todas partes dentro de ctucan_err_interrupt() excepto en el único lugar. Agregue la verificación NULL omitida. Encontrado por Linux Verification Center (linuxtesting.org) con la herramienta de análisis estático SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: x86: Rechazar las hiperllamadas SEND_IPI de Hyper-V si la API local no está en el kernel Publicitar soporte para las hiperllamadas SEND_IPI y SEND_IPI_EX de Hyper-V si y solo si la API local es emulada/virtualizada por KVM, y rechazar explícitamente dichas hiperllamadas si la API local es emulada en el espacio de usuario, es decir, no confiar en el espacio de usuario para optar por KVM_CAP_HYPERV_ENFORCE_CPUID. Rechazar SEND_IPI y SEND_IPI_EX corrige una desreferencia de puntero NULL si las iluminaciones de Hyper-V se exponen al invitado sin una APIC local en el núcleo: dump_stack+0xbe/0xfd __kasan_report.cold+0x34/0x84 kasan_report+0x3a/0x50 __apic_accept_irq+0x3a/0x5c0 kvm_hv_send_ipi.isra.0+0x34e/0x820 kvm_hv_hypercall+0x8d9/0x9d0 kvm_emulate_hypercall+0x506/0x7e0 __vmx_handle_exit+0x283/0xb60 vmx_handle_exit+0x1d/0xd0 vcpu_enter_guest+0x16b0/0x24c0 vcpu_run+0xc0/0x550 kvm_arch_vcpu_ioctl_run+0x170/0x6d0 kvm_vcpu_ioctl+0x413/0xb20 __se_sys_ioctl+0x111/0x160 do_syscal1_64+0x30/0x40 entry_SYSCALL_64_after_hwframe+0x67/0xd1 Tenga en cuenta que comprobar la vCPU de envío es suficiente, ya que el irqchip_mode por VM no se puede modificar después de crear las vCPU, es decir, si una vCPU tiene una APIC local en el núcleo, entonces todas las vCPU tienen una APIC local en el núcleo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ndisc: usar protección RCU en ndisc_alloc_skb() ndisc_alloc_skb() se puede llamar sin que se mantenga RTNL o RCU. Agregue protección RCU para evitar posibles UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv6: usar protección RCU en ip6_default_advmss() ip6_default_advmss() necesita protección RCU para asegurarse de que la estructura de red que lee no desaparezca.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv4: usar protección RCU en __ip_rt_update_pmtu() __ip_rt_update_pmtu() debe usar protección RCU para asegurarse de que la estructura de red que lee no desaparezca.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: clocksource: Use migrants_disable() para evitar llamar a get_random_u32() en un contexto atómico El siguiente informe de error ocurrió con un kernel PREEMPT_RT: ERROR: función inactiva llamada desde un contexto no válido en kernel/locking/spinlock_rt.c:48 in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 2012, name: kwatchdog preempt_count: 1, expected: 0 Profundidad de anidamiento de RCU: 0, expected: 0 get_random_u32+0x4f/0x110 clocksource_verify_choose_cpus+0xab/0x1a0 clocksource_verify_percpu.part.0+0x6b/0x330 clocksource_watchdog_kthread+0x193/0x1a0 Esto se debe al hecho de que clocksource_verify_choose_cpus() se invoca con la preempción deshabilitada. Esta función invoca get_random_u32() para obtener números aleatorios para elegir las CPU. El bloqueo local batched_entropy_32 y/o el spinlock base_crng.lock en driver/char/random.c se adquirirán durante la llamada. En el kernel PREEMPT_RT, ambos son bloqueos inactivos y, por lo tanto, no se pueden adquirir en un contexto atómico. Solucione este problema utilizando migrants_disable() para permitir que smp_processor_id() se utilice de manera confiable sin introducir un contexto atómico. Luego, se llama a preempt_disable() después de clocksource_verify_choose_cpus() pero antes de que se ejecute la medición de la fuente de reloj para evitar introducir una latencia inesperada.