Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> scsi: qedf: Solución a la desreferencia de NULL en el manejo de errores<br /> <br /> Smatch informó:<br /> <br /> drivers/scsi/qedf/qedf_main.c:3056 qedf_alloc_global_queues()<br /> advertencia: ¿falta un goto de desenrollado?<br /> <br /> En este punto de la función, nada ha sido asignado por lo que podemos retornar directamente. En particular, los &amp;#39;qedf-&amp;gt;global_queues&amp;#39; no han sido asignados, por lo que llamar a qedf_free_global_queues() conducirá a una desreferencia de NULL cuando comprobemos si (!gl[i]) y &amp;#39;gl&amp;#39; es NULL.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> blk-cgroup: Corrección de desreferencia NULL causada por la instalación de blkg_policy_data antes de la inicialización<br /> <br /> blk-iocost a veces causa el siguiente fallo:<br /> <br /> BUG: desreferencia de puntero NULL del kernel, dirección: 00000000000000e0<br /> ...<br /> RIP: 0010:_raw_spin_lock+0x17/0x30<br /> Code: be 01 02 00 00 e8 79 38 39 ff 31 d2 89 d0 5d c3 0f 1f 00 0f 1f 44 00 00 55 48 89 e5 65 ff 05 48 d0 34 7e b9 01 00 00 00 31 c0 0f b1 0f 75 02 5d c3 89 c6 e8 ea 04 00 00 5d c3 0f 1f 84 00 00<br /> RSP: 0018:ffffc900023b3d40 EFLAGS: 00010046<br /> RAX: 0000000000000000 RBX: 00000000000000e0 RCX: 0000000000000001<br /> RDX: ffffc900023b3d20 RSI: ffffc900023b3cf0 RDI: 00000000000000e0<br /> RBP: ffffc900023b3d40 R08: ffffc900023b3c10 R09: 0000000000000003<br /> R10: 0000000000000064 R11: 000000000000000a R12: ffff888102337000<br /> R13: fffffffffffffff2 R14: ffff88810af408c8 R15: ffff8881070c3600<br /> FS: 00007faaaf364fc0(0000) GS:ffff88842fdc0000(0000) knlGS:0000000000000000<br /> CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> CR2: 00000000000000e0 CR3: 00000001097b1000 CR4: 0000000000350ea0<br /> Call Trace:<br /> <br /> ioc_weight_write+0x13d/0x410<br /> cgroup_file_write+0x7a/0x130<br /> kernfs_fop_write_iter+0xf5/0x170<br /> vfs_write+0x298/0x370<br /> ksys_write+0x5f/0xb0<br /> __x64_sys_write+0x1b/0x20<br /> do_syscall_64+0x3d/0x80<br /> entry_SYSCALL_64_after_hwframe+0x46/0xb0<br /> <br /> Esto ocurre porque iocg-&amp;gt;ioc es NULL. El campo es inicializado por ioc_pd_init() y nunca se borra. La desreferencia NULL es causada por blkcg_activate_policy() al instalar blkg_policy_data antes de inicializarlo.<br /> <br /> blkcg_activate_policy() estaba haciendo lo siguiente:<br /> <br /> 1. Asignar pd&amp;#39;s para todos los blkg&amp;#39;s existentes e instalarlos en blkg-&amp;gt;pd[].<br /> 2. Inicializar todos los pd&amp;#39;s.<br /> 3. Poner en línea todos los pd&amp;#39;s.<br /> <br /> blkcg_activate_policy() solo toma el queue_lock y puede liberar y volver a adquirir el bloqueo ya que la asignación puede necesitar dormir. ioc_weight_write() toma blkcg-&amp;gt;lock e itera sobre todos sus blkg&amp;#39;s. Los dos pueden competir y si ioc_weight_write() se ejecuta durante el #1 o entre el #1 y el #2, puede encontrar un pd que aún no está inicializado, lo que lleva a un fallo.<br /> <br /> El fallo puede ser reproducido con el siguiente script:<br /> <br /> #!/bin/bash<br /> <br /> echo +io &amp;gt; /sys/fs/cgroup/cgroup.subtree_control<br /> systemd-run --unit touch-sda --scope dd if=/dev/sda of=/dev/null bs=1M count=1 iflag=direct<br /> echo 100 &amp;gt; /sys/fs/cgroup/system.slice/io.weight<br /> bash -c "echo &amp;#39;8:0 enable=1&amp;#39; &amp;gt; /sys/fs/cgroup/io.cost.qos" &amp;amp;<br /> sleep .2<br /> echo 100 &amp;gt; /sys/fs/cgroup/system.slice/io.weight<br /> <br /> con el siguiente parche aplicado:<br /> <br /> &amp;gt; diff --git a/block/blk-cgroup.c b/block/blk-cgroup.c<br /> &amp;gt; index fc49be622e05..38d671d5e10c 100644<br /> &amp;gt; --- a/block/blk-cgroup.c<br /> &amp;gt; +++ b/block/blk-cgroup.c<br /> &amp;gt; @@ -1553,6 +1553,12 @@ int blkcg_activate_policy(struct gendisk *disk, const struct blkcg_policy *pol)<br /> &amp;gt; pd-&amp;gt;online = false;<br /> &amp;gt; }<br /> &amp;gt;<br /> &amp;gt; + if (system_state == SYSTEM_RUNNING) {<br /> &amp;gt; + spin_unlock_irq(&amp;amp;q-&amp;gt;queue_lock);<br /> &amp;gt; + ssleep(1);<br /> &amp;gt; + spin_lock_irq(&amp;amp;q-&amp;gt;queue_lock);<br /> &amp;gt; + }<br /> &amp;gt; +<br /> &amp;gt; /* all allocated, init in the same order */<br /> &amp;gt; if (pol-&amp;gt;pd_init_fn)<br /> &amp;gt; list_for_each_entry_reverse(blkg, &amp;amp;q-&amp;gt;blkg_list, q_node)<br /> <br /> No veo una razón por la cual todos los pd&amp;#39;s deban ser asignados, inicializados y puestos en línea juntos. El único requisito de orden es que los blkg&amp;#39;s padre sean inicializados y puestos en línea antes que los hijos, lo cual está garantizado por el orden de recorrido. Corrijamos el error al asignar, inicializar y poner en línea el pd para cada blkg y manteniendo blkcg-&amp;gt;lock durante la inicialización y la puesta en línea. Esto asegura que un blkg instalado esté siempre completamente inicializado y puesto en línea, eliminando la ventana de carrera.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> fs/ntfs3: Corregir una posible desreferencia de puntero nulo en ni_clear()<br /> <br /> En un commit anterior c1006bd13146, ni-&amp;gt;mi.mrec en ni_write_inode() podría ser NULL, y por lo tanto se añade una comprobación de NULL para esta variable.<br /> <br /> Sin embargo, en la misma pila de llamadas, ni-&amp;gt;mi.mrec también puede ser desreferenciado en ni_clear():<br /> <br /> ntfs_evict_inode(inode)<br /> ni_write_inode(inode, ...)<br /> ni = ntfs_i(inode);<br /> is_rec_inuse(ni-&amp;gt;mi.mrec) -&amp;gt; Se añade una comprobación de NULL por el commit anterior<br /> ni_clear(ntfs_i(inode))<br /> is_rec_inuse(ni-&amp;gt;mi.mrec) -&amp;gt; Sin comprobación<br /> <br /> Por lo tanto, una posible desreferencia de puntero nulo puede existir en ni_clear().<br /> Para corregirlo, se añade una comprobación de NULL en esta función.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> xfrm: Corrección de fuga de rastreador de dispositivo<br /> <br /> En la etapa de las comprobaciones de dirección, el rastreador de referencias netdev ya está inicializado, pero liberado con una llamada *_put() incorrecta.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> RDMA/srpt: Añadir una comprobación para un puntero &amp;#39;mad_agent&amp;#39; válido<br /> <br /> Al anular el registro del agente MAD, el módulo srpt tiene una comprobación de no nulidad para el puntero &amp;#39;mad_agent&amp;#39; antes de invocar ib_unregister_mad_agent().<br /> Esta comprobación puede pasar si la variable &amp;#39;mad_agent&amp;#39; contiene un valor de error.<br /> El &amp;#39;mad_agent&amp;#39; puede tener un valor de error durante una ventana corta cuando srpt_add_one() y srpt_remove_one() se ejecutan simultáneamente.<br /> <br /> En el módulo srpt, se añadió una comprobación de puntero válido para &amp;#39;sport-&amp;gt;mad_agent&amp;#39; antes de anular el registro del agente MAD.<br /> <br /> Este problema puede ocurrir cuando el controlador RoCE anula el registro de ib_device<br /> <br /> Traza de la pila:<br /> ------------<br /> BUG: desreferencia de puntero NULL del kernel, dirección: 000000000000004d<br /> PGD 145003067 P4D 145003067 PUD 2324fe067 PMD 0<br /> Oops: 0002 [#1] PREEMPT SMP NOPTI<br /> CPU: 10 PID: 4459 Comm: kworker/u80:0 Kdump: loaded Tainted: P<br /> Nombre del hardware: Dell Inc. PowerEdge R640/06NR82, BIOS 2.5.4 01/13/2020<br /> Cola de trabajo: bnxt_re bnxt_re_task [bnxt_re]<br /> RIP: 0010:_raw_spin_lock_irqsave+0x19/0x40<br /> Traza de llamada:<br /> ib_unregister_mad_agent+0x46/0x2f0 [ib_core]<br /> IPv6: ADDRCONF(NETDEV_CHANGE): bond0: el enlace está listo<br /> ? __schedule+0x20b/0x560<br /> srpt_unregister_mad_agent+0x93/0xd0 [ib_srpt]<br /> srpt_remove_one+0x20/0x150 [ib_srpt]<br /> remove_client_context+0x88/0xd0 [ib_core]<br /> bond0: (esclavo p2p1): estado del enlace definitivamente activo, 100000 Mbps full duplex<br /> disable_device+0x8a/0x160 [ib_core]<br /> bond0: ¡interfaz activa levantada!<br /> ? kernfs_name_hash+0x12/0x80<br /> (dispositivo NULL *): Información de Bonding Recibida: rdev: 000000006c0b8247<br /> __ib_unregister_device+0x42/0xb0 [ib_core]<br /> (dispositivo NULL *): Maestro: modo: 4 num_slaves:2<br /> ib_unregister_device+0x22/0x30 [ib_core]<br /> (dispositivo NULL *): Esclavo: id: 105069936 nombre:p2p1 enlace:0 estado:0<br /> bnxt_re_stopqps_and_ib_uninit+0x83/0x90 [bnxt_re]<br /> bnxt_re_alloc_lag+0x12e/0x4e0 [bnxt_re]

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> wifi: ath11k: Corrección de fuga de memoria en ath11k_peer_rx_frag_setup<br /> <br /> crypto_alloc_shash() asigna recursos, los cuales deben ser liberados por crypto_free_shash(). Cuando ath11k_peer_find() falla, ha habido una fuga de memoria. Añadir el crypto_free_shash() faltante para corregir esto.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> nfsd: mover la inicialización de los contadores percpu reply_cache_stats de vuelta a nfsd_init_net<br /> <br /> El commit f5f9d4a314da (&amp;#39;nfsd: mover la inicialización de la caché de respuestas al inicio de nfsd&amp;#39;) movió la inicialización de la caché de respuestas al inicio de nfsd, pero no tuvo en cuenta los contadores de estadísticas, los cuales pueden ser accedidos antes de que nfsd se inicie. El resultado puede ser una desreferencia de puntero NULL cuando alguien accede a /proc/fs/nfsd/reply_cache_stats mientras nfsd aún está apagado.<br /> <br /> Esto es una regresión y un oops activable por el usuario en la situación correcta:<br /> <br /> - arquitectura que no sea x86_64<br /> - /proc/fs/nfsd está montado en el espacio de nombres<br /> - nfsd no está iniciado en el espacio de nombres<br /> - usuario sin privilegios llama a &amp;#39;cat /proc/fs/nfsd/reply_cache_stats&amp;#39;<br /> <br /> Aunque esto es fácil de activar en algunas arquitecturas (como aarch64), en x86_64, llamar a this_cpu_ptr(NULL) evidentemente devuelve un puntero a los fixed_percpu_data. Esa estructura se parece lo suficiente a una variable percpu recién inicializada para permitir que nfsd_reply_cache_stats_show acceda a ella sin causar un Oops.<br /> <br /> Mover la inicialización de los contadores de caché de respuestas por-red+por-cpu de vuelta a nfsd_init_net, mientras se deja el resto de las asignaciones de la caché de respuestas para ser realizadas en el momento de inicio de nfsd.<br /> <br /> Felicitaciones a Eirik quien hizo la mayor parte del trabajo preliminar para rastrear esto.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> fbdev: udlfb: Corregir la verificación del punto final<br /> <br /> El fuzzer syzbot detectó un problema en el controlador udlfb, causado por un punto final que no tenía el tipo esperado:<br /> <br /> usb 1-1: Read EDID byte 0 failed: -71<br /> usb 1-1: Unable to get valid EDID from device/display<br /> ------------[ cut here ]------------<br /> usb 1-1: BOGUS urb xfer, pipe 3 != type 1<br /> WARNING: CPU: 0 PID: 9 at drivers/usb/core/urb.c:504 usb_submit_urb+0xed6/0x1880<br /> drivers/usb/core/urb.c:504<br /> Modules linked in:<br /> CPU: 0 PID: 9 Comm: kworker/0:1 Not tainted<br /> 6.4.0-rc1-syzkaller-00016-ga4422ff22142 #0<br /> Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google<br /> 04/28/2023<br /> Workqueue: usb_hub_wq hub_event<br /> RIP: 0010:usb_submit_urb+0xed6/0x1880 drivers/usb/core/urb.c:504<br /> ...<br /> Call Trace:<br /> <br /> dlfb_submit_urb+0x92/0x180 drivers/video/fbdev/udlfb.c:1980<br /> dlfb_set_video_mode+0x21f0/0x2950 drivers/video/fbdev/udlfb.c:315<br /> dlfb_ops_set_par+0x2a7/0x8d0 drivers/video/fbdev/udlfb.c:1111<br /> dlfb_usb_probe+0x149a/0x2710 drivers/video/fbdev/udlfb.c:1743<br /> <br /> El enfoque actual para este problema no logró detectar el problema porque solo verifica la existencia de un punto final bulk-OUT; no verifica si este punto final es el que el controlador realmente utilizará.<br /> <br /> Podemos solucionar el problema al verificar en su lugar que el punto final utilizado por el controlador existe y es bulk-OUT.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> s390/vmem: dividir páginas cuando debug pagealloc está habilitado<br /> <br /> Desde el commit bb1520d581a3 (&amp;#39;s390/mm: iniciar kernel con DAT habilitado&amp;#39;), el kernel falla temprano durante el arranque cuando debug pagealloc está habilitado:<br /> <br /> inicialización automática de memoria: pila:desactivado, asignación de heap:desactivado, liberación de heap:desactivado<br /> excepción de direccionamiento: 0005 ilc:2 [#1] SMP DEBUG_PAGEALLOC<br /> Módulos enlazados:<br /> CPU: 0 PID: 0 Comm: swapper No contaminado 6.5.0-rc3-09759-gc5666c912155 #630<br /> [..]<br /> Código del kernel: 00000000001325f6: ec5600248064 cgrj %r5,%r6,8,000000000013263e<br /> 00000000001325fc: eb880002000c srlg %r8,%r8,2<br /> #0000000000132602: b2210051 ipte %r5,%r1,%r0,0<br /> &amp;gt;0000000000132606: b90400d1 lgr %r13,%r1<br /> 000000000013260a: 41605008 la %r6,8(%r5)<br /> 000000000013260e: a7db1000 aghi %r13,4096<br /> 0000000000132612: b221006d ipte %r6,%r13,%r0,0<br /> 0000000000132616: e3d0d0000171 lay %r13,4096(%r13)<br /> <br /> Traza de llamadas:<br /> __kernel_map_pages+0x14e/0x320<br /> __free_pages_ok+0x23a/0x5a8)<br /> free_low_memory_core_early+0x214/0x2c8<br /> memblock_free_all+0x28/0x58<br /> mem_init+0xb6/0x228<br /> mm_core_init+0xb6/0x3b0<br /> start_kernel+0x1d2/0x5a8<br /> startup_continue+0x36/0x40<br /> Pánico del kernel - no sincronizando: Excepción fatal: panic_on_oops<br /> <br /> Esto es causado por el uso de mapeos grandes en máquinas con EDAT1/EDAT2. Añadir el código para dividir los mapeos en páginas de 4k si debug pagealloc está habilitado por CONFIG_DEBUG_PAGEALLOC_ENABLE_DEFAULT o la opción de línea de comandos del kernel debug_pagealloc.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> MIPS: fw: Permitir que el firmware pase un &amp;#39;env&amp;#39; vacío<br /> <br /> fw_getenv utilizará la entrada &amp;#39;env&amp;#39; para determinar el estilo del &amp;#39;env&amp;#39;, sin embargo, es legal que el firmware simplemente pase una lista vacía.<br /> <br /> Comprobar si la primera entrada existe antes de ejecutar strchr para evitar la desreferencia de puntero nulo.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> cifs: corregir una posible condición de carrera al conectar el árbol ipc<br /> <br /> Proteger el acceso a TCP_Server_Info::hostname al construir el nombre del árbol ipc, ya que podría ser liberado en el hilo cifsd y así causar un error de uso después de liberación en __tree_connect_dfs_target(). Además, ya que estamos en ello, actualizar el estado de IPC tcon en caso de éxito y luego evitar cualquier conexión de árbol adicional.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> drm/nouveau/kms/nv50-: inicializar hpd_irq_lock para PIOR DP<br /> <br /> Corrige OOPS en placas con codificadores DP ANX9805.