Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: intel/ipu6: eliminar solicitud de QoS de latencia de CPU en caso de error Corrija la corrupción de la lista de QoS de latencia de CPU como se muestra a continuación. Ocurre cuando no eliminamos la solicitud de latencia de CPU en la ruta de error y liberamos la memoria correspondiente. [ 30.634378] l7 kernel: list_add corruption. prev->next should be next (ffffffff9645e960), but was 0000000100100001. (prev=ffff8e9e877e20a8). [ 30.634388] l7 kernel: WARNING: CPU: 2 PID: 2008 at lib/list_debug.c:32 __list_add_valid_or_report+0x83/0xa0 [ 30.634640] l7 kernel: Call Trace: [ 30.634650] l7 kernel: [ 30.634659] l7 kernel: ? __list_add_valid_or_report+0x83/0xa0 [ 30.634669] l7 kernel: ? __warn.cold+0x93/0xf6 [ 30.634678] l7 kernel: ? __list_add_valid_or_report+0x83/0xa0 [ 30.634690] l7 kernel: ? report_bug+0xff/0x140 [ 30.634702] l7 kernel: ? handle_bug+0x58/0x90 [ 30.634712] l7 kernel: ? exc_invalid_op+0x17/0x70 [ 30.634723] l7 kernel: ? asm_exc_invalid_op+0x1a/0x20 [ 30.634733] l7 kernel: ? __list_add_valid_or_report+0x83/0xa0 [ 30.634742] l7 kernel: plist_add+0xdd/0x140 [ 30.634754] l7 kernel: pm_qos_update_target+0xa0/0x1f0 [ 30.634764] l7 kernel: cpu_latency_qos_update_request+0x61/0xc0 [ 30.634773] l7 kernel: intel_dp_aux_xfer+0x4c7/0x6e0 [i915 1f824655ed04687c2b0d23dbce759fa785f6d033]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: dwc: ep: Impedir cambiar el tamaño/indicadores de BAR en pci_epc_set_bar() En el commit 4284c88fff0e ("PCI: designware-ep: Permitir que pci_epc_set_bar() actualice la dirección del mapa de entrada"), se modificó set_bar() para admitir el cambio dinámico de la dirección física de respaldo de un BAR que ya estaba configurado. Esto significa que se puede llamar a set_bar() dos veces, sin llamar nunca a clear_bar() (ya que llamar a clear_bar() borraría la dirección PCI del BAR asignada por el host). Esto solo se puede hacer si el nuevo tamaño/indicadores de BAR no difieren de la configuración de BAR existente. Agregue estas comprobaciones faltantes. Si permitimos que set_bar() establezca, por ejemplo, un nuevo tamaño de BAR que difiere del tamaño de BAR existente, el nuevo rango de traducción de direcciones será más pequeño que el tamaño de BAR ya determinado por el host, lo que significaría que una lectura más allá del nuevo tamaño de BAR pasaría la iATU sin traducir, lo que podría permitir que el host lea memoria que no pertenece a la nueva estructura pci_epf_bar. Mientras tanto, agregue comentarios que aclaren el soporte para cambiar dinámicamente la dirección física de un BAR. (Lo cual también faltaba).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KEYS: trusted: dcp: corrige el uso incorrecto de sg con CONFIG_VMAP_STACK=y Con las direcciones de pila vmalloc habilitadas (CONFIG_VMAP_STACK=y), las claves confiables de DCP pueden fallar durante el cifrado y descifrado de la clave de cifrado de blobs a través del controlador de cifrado DCP. Esto se debe al uso incorrecto de sg_init_one() con búferes de pila vmalloc (plain_key_blob). Solucione esto utilizando siempre kmalloc() para los búferes que le damos al controlador de cifrado DCP.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe/tracing: Arreglar un UAF potencial de TP_printk el commit afd2627f727b ("tracing: Comprobar la desreferencia de "%s" mediante el campo y no el formato TP_printk") expone posibles UAF en el evento de seguimiento xe_bo_move. Arregle estos problemas evitando desreferenciar la matriz xe_mem_type_to_name[] en el momento de TP_printk. Dado que se ha realizado cierta refactorización del código, es posible que se necesite una retroportación explícita para kernels anteriores a la versión 6.10.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: vidtv: Se corrige una desreferencia de puntero nulo en vidtv_mux_stop_thread syzbot informa una desreferencia de puntero nulo en vidtv_mux_stop_thread. [1] Si dvb->mux no se inicializa correctamente mediante vidtv_mux_init() en vidtv_start_streaming(), se activará la desreferencia de puntero nulo sobre mux en vidtv_mux_stop_thread(). Ajuste el tiempo de inicialización de la transmisión y verifíquelo antes de detenerlo. [1] KASAN: null-ptr-deref in range [0x0000000000000128-0x000000000000012f] CPU: 0 UID: 0 PID: 5842 Comm: syz-executor248 Not tainted 6.13.0-rc4-syzkaller-00012-g9b2ffa6148b1 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 RIP: 0010:vidtv_mux_stop_thread+0x26/0x80 drivers/media/test-drivers/vidtv/vidtv_mux.c:471 Code: 90 90 90 90 66 0f 1f 00 55 53 48 89 fb e8 82 2e c8 f9 48 8d bb 28 01 00 00 48 b8 00 00 00 00 00 fc ff df 48 89 fa 48 c1 ea 03 <0f> b6 04 02 84 c0 74 02 7e 3b 0f b6 ab 28 01 00 00 31 ff 89 ee e8 RSP: 0018:ffffc90003f2faa8 EFLAGS: 00010202 RAX: dffffc0000000000 RBX: 0000000000000000 RCX: ffffffff87cfb125 RDX: 0000000000000025 RSI: ffffffff87d120ce RDI: 0000000000000128 RBP: ffff888029b8d220 R08: 0000000000000005 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000003 R12: ffff888029b8d188 R13: ffffffff8f590aa0 R14: ffffc9000581c5c8 R15: ffff888029a17710 FS: 00007f7eef5156c0(0000) GS:ffff8880b8600000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f7eef5e635c CR3: 0000000076ca6000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: vidtv_stop_streaming drivers/media/test-drivers/vidtv/vidtv_bridge.c:209 [inline] vidtv_stop_feed+0x151/0x250 drivers/media/test-drivers/vidtv/vidtv_bridge.c:252 dmx_section_feed_stop_filtering+0x90/0x160 drivers/media/dvb-core/dvb_demux.c:1000 dvb_dmxdev_feed_stop.isra.0+0x1ee/0x270 drivers/media/dvb-core/dmxdev.c:486 dvb_dmxdev_filter_stop+0x22a/0x3a0 drivers/media/dvb-core/dmxdev.c:559 dvb_dmxdev_filter_free drivers/media/dvb-core/dmxdev.c:840 [inline] dvb_demux_release+0x92/0x550 drivers/media/dvb-core/dmxdev.c:1246 __fput+0x3f8/0xb60 fs/file_table.c:450 task_work_run+0x14e/0x250 kernel/task_work.c:239 get_signal+0x1d3/0x2610 kernel/signal.c:2790 arch_do_signal_or_restart+0x90/0x7e0 arch/x86/kernel/signal.c:337 exit_to_user_mode_loop kernel/entry/common.c:111 [inline] exit_to_user_mode_prepare include/linux/entry-common.h:329 [inline] __syscall_exit_to_user_mode_work kernel/entry/common.c:207 [inline] syscall_exit_to_user_mode+0x150/0x2a0 kernel/entry/common.c:218 do_syscall_64+0xda/0x250 arch/x86/entry/common.c:89 entry_SYSCALL_64_after_hwframe+0x77/0x7f

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs/ntfs3: Marcar el inodo como defectuoso tan pronto como se detecte un error en mi_enum_attr() Se amplió la interfaz de la función `mi_enum_attr()` con un parámetro adicional, `struct ntfs_inode *ni`, para permitir marcar el inodo como defectuoso tan pronto como se detecte un error.

En el núcleo de Linux, se ha resuelto la siguiente vulnerabilidad: NFS: Se solucionó un posible desbordamiento de búfer en nfs_sysfs_link_rpc_client() cuyo nombre es char[64], donde el tamaño de clnt->cl_program->name sigue siendo desconocido. Invocar strcat() directamente también provocará un posible desbordamiento de búfer. Cámbielos a strscpy() y strncat() para solucionar posibles problemas.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: firmware: qcom: scm: smc: Handle missing SCM device el commit ca61d6836e6f ("firmware: qcom: scm: fix a NULL-pointer dereference") hace explícito que qcom_scm_get_tzmem_pool() puede devolver NULL, por lo tanto, sus usuarios deben manejar esto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm: zynqmp_dp: corrige el desbordamiento de enteros en zynqmp_dp_rate_get() Este parche corrige un posible desbordamiento de enteros en zynqmp_dp_rate_get() El problema surge cuando la expresión drm_dp_bw_code_to_link_rate(dp->test.bw_code) * 10000 se evalúa utilizando 32 bits Ahora la constante es un tipo compatible de 64 bits. Resuelve problemas de cobertura: CID 1636340 y CID 1635811

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/msm/gem: evitar el desbordamiento de enteros en msm_ioctl_gem_submit() Las variables "submit->cmd[i].size" y "submit->cmd[i].offset" son valores u32 que provienen del usuario a través de la función submission_lookup_cmds(). Esta adición podría provocar un error de envoltura de enteros, por lo que se debe utilizar size_add() para evitarlo. Patchwork: https://patchwork.freedesktop.org/patch/624696/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: ufs: bsg: Establecer bsg_queue en NULL después de la eliminación Actualmente, esto no causa ningún problema, pero creo que es necesario establecer bsg_queue en NULL después de eliminarlo para evitar un posible acceso de use after free (UAF).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nbd: no permitir la reconexión después de la desconexión El siguiente proceso puede causar el nbd_config UAF: 1) grab nbd_config temporarily; 2) nbd_genl_disconnect() flush all recv_work() and release the initial reference: nbd_genl_disconnect nbd_disconnect_and_put nbd_disconnect flush_workqueue(nbd->recv_workq) if (test_and_clear_bit(NBD_RT_HAS_CONFIG_REF, ...)) nbd_config_put -> due to step 1), reference is still not zero 3) nbd_genl_reconfigure() queue recv_work() again; nbd_genl_reconfigure config = nbd_get_config_unlocked(nbd) if (!config) -> succeed if (!test_bit(NBD_RT_BOUND, ...)) -> succeed nbd_reconnect_socket queue_work(nbd->recv_workq, &args->work) 4) step 1) release the reference; 5) Finially, recv_work() will trigger UAF: recv_work nbd_config_put(nbd) -> nbd_config is freed atomic_dec(&config->recv_threads) -> UAF Fix the problem by clearing NBD_RT_BOUND in nbd_genl_disconnect(), so that nbd_genl_reconfigure() will fail.