Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtw89: sar: se omite la aserción lockdep en rtw89_set_sar_from_acpi. La siguiente aserción se activa al iniciar el controlador rtw89. Parece inútil mantener el bloqueo de wiphy en la fase inicial, por lo que se omite la aserción. ADVERTENCIA: CPU: 7 PID: 629 en drivers/net/wireless/realtek/rtw89/sar.c:502 rtw89_set_sar_from_acpi+0x365/0x4d0 [rtw89_core] CPU: 7 UID: 0 PID: 629 Comm: (udev-worker) No contaminado 6.15.0+ #29 PREEMPT(lazy) Nombre del hardware: LENOVO 21D0/LNVNB161216, BIOS J6CN50WW 27/09/2024 RIP: 0010:rtw89_set_sar_from_acpi+0x365/0x4d0 [rtw89_core] Rastreo de llamadas: rtw89_sar_init+0x68/0x2c0 [rtw89_core] rtw89_core_init+0x188e/0x1e50 [rtw89_core] rtw89_pci_probe+0x530/0xb50 [rtw89_pci] local_pci_probe+0xd9/0x190 pci_call_probe+0x183/0x540 pci_device_probe+0x171/0x2c0 really_probe+0x1e1/0x890 __driver_probe_device+0x18c/0x390 driver_probe_device+0x4a/0x120 __driver_attach+0x1a0/0x530 bus_for_each_dev+0x10b/0x190 bus_add_driver+0x2eb/0x540 driver_register+0x1a3/0x3a0 do_one_initcall+0xd5/0x450 do_init_module+0x2cc/0x8f0 init_module_from_file+0xe1/0x150 idempotent_init_module+0x226/0x760 __x64_sys_finit_module+0xcd/0x150 do_syscall_64+0x94/0x380 entry_SYSCALL_64_after_hwframe+0x76/0x7e Encontrado por el Centro de verificación de Linux (linuxtesting.org).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: rechazar operaciones TDLS cuando la estación no está asociada. syzbot activó una advertencia en ieee80211_tdls_oper() al enviar NL80211_TDLS_ENABLE_LINK inmediatamente después de NL80211_CMD_CONNECT, antes de que se completara la asociación y sin haber configurado previamente TDLS. Esto dejó un estado interno como sdata->u.mgd.tdls_peer sin inicializar, lo que provocó una advertencia WARN_ON() en las rutas de código que asumían que era válido. Rechace la operación antes de tiempo si no está en modo estación o no está asociada.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/mlx5: Verificar el puntero de memoria del dispositivo antes del uso. Agregar una verificación NULL antes de acceder a la memoria del dispositivo para evitar un bloqueo si falla la asignación dev->dm en mlx5_init_once().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Deshabilitar la migración en nf_hook_run_bpf(). syzbot informó que el programa bpf de netfilter puede ejecutarse sin deshabilitar la migración en la ruta de transmisión. En ese caso, la aserción en __bpf_prog_run() falla, lo que genera el siguiente error. [0] Let's use bpf_prog_run_pin_on_cpu() in nf_hook_run_bpf(). [0]: BUG: assuming non migratable context at ./include/linux/filter.h:703 in_atomic(): 0, irqs_disabled(): 0, migration_disabled() 0 pid: 5829, name: sshd-session 3 locks held by sshd-session/5829: #0: ffff88807b4e4218 (sk_lock-AF_INET){+.+.}-{0:0}, at: lock_sock include/net/sock.h:1667 [inline] #0: ffff88807b4e4218 (sk_lock-AF_INET){+.+.}-{0:0}, at: tcp_sendmsg+0x20/0x50 net/ipv4/tcp.c:1395 #1: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_lock_acquire include/linux/rcupdate.h:331 [inline] #1: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_read_lock include/linux/rcupdate.h:841 [inline] #1: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: __ip_queue_xmit+0x69/0x26c0 net/ipv4/ip_output.c:470 #2: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_lock_acquire include/linux/rcupdate.h:331 [inline] #2: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_read_lock include/linux/rcupdate.h:841 [inline] #2: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: nf_hook+0xb2/0x680 include/linux/netfilter.h:241 CPU: 0 UID: 0 PID: 5829 Comm: sshd-session Not tainted 6.16.0-rc6-syzkaller-00002-g155a3c003e55 #0 PREEMPT(full) Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 05/07/2025 Call Trace: __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x16c/0x1f0 lib/dump_stack.c:120 __cant_migrate kernel/sched/core.c:8860 [inline] __cant_migrate+0x1c7/0x250 kernel/sched/core.c:8834 __bpf_prog_run include/linux/filter.h:703 [inline] bpf_prog_run include/linux/filter.h:725 [inline] nf_hook_run_bpf+0x83/0x1e0 net/netfilter/nf_bpf_link.c:20 nf_hook_entry_hookfn include/linux/netfilter.h:157 [inline] nf_hook_slow+0xbb/0x200 net/netfilter/core.c:623 nf_hook+0x370/0x680 include/linux/netfilter.h:272 NF_HOOK_COND include/linux/netfilter.h:305 [inline] ip_output+0x1bc/0x2a0 net/ipv4/ip_output.c:433 dst_output include/net/dst.h:459 [inline] ip_local_out net/ipv4/ip_output.c:129 [inline] __ip_queue_xmit+0x1d7d/0x26c0 net/ipv4/ip_output.c:527 __tcp_transmit_skb+0x2686/0x3e90 net/ipv4/tcp_output.c:1479 tcp_transmit_skb net/ipv4/tcp_output.c:1497 [inline] tcp_write_xmit+0x1274/0x84e0 net/ipv4/tcp_output.c:2838 __tcp_push_pending_frames+0xaf/0x390 net/ipv4/tcp_output.c:3021 tcp_push+0x225/0x700 net/ipv4/tcp.c:759 tcp_sendmsg_locked+0x1870/0x42b0 net/ipv4/tcp.c:1359 tcp_sendmsg+0x2e/0x50 net/ipv4/tcp.c:1396 inet_sendmsg+0xb9/0x140 net/ipv4/af_inet.c:851 sock_sendmsg_nosec net/socket.c:712 [inline] __sock_sendmsg net/socket.c:727 [inline] sock_write_iter+0x4aa/0x5b0 net/socket.c:1131 new_sync_write fs/read_write.c:593 [inline] vfs_write+0x6c7/0x1150 fs/read_write.c:686 ksys_write+0x1f8/0x250 fs/read_write.c:738 do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline] do_syscall_64+0xcd/0x4c0 arch/x86/entry/syscall_64.c:94 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7fe7d365d407 Code: 48 89 fa 4c 89 df e8 38 aa 00 00 8b 93 08 03 00 00 59 5e 48 83 f8 fc 74 1a 5b c3 0f 1f 84 00 00 00 00 00 48 8b 44 24 10 0f 05 <5b> c3 0f 1f 80 00 00 00 00 83 e2 39 83 fa 08 75 de e8 23 ff ff ff RSP:

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: btusb: corrige la posible desreferencia de NULL en caso de falla de kmalloc. Evita la posible desreferencia de puntero NULL comprobando el valor de retorno de kmalloc y manejando la falla de asignación de forma adecuada.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: corrección de WARN_ON para el modo monitor en algunos dispositivos. En dispositivos sin WANT_MONITOR_VIF (y probablemente sin compatibilidad con contexto de canal), recibimos un WARN_ON al cambiar la configuración por enlace de una interfaz de monitor. Dado que ya omitimos las interfaces AP_VLAN y MONITOR con WANT_MONITOR_VIF o NO_VIRTUAL_MONITOR debería actualizar la configuración, se debe incluir esto en el código de cambio de enlace en lugar de la advertencia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtw89: evitar la desreferencia NULL al recibir un paquete problemático en una banda de 6 GHz no compatible. En raras ocasiones, el informe de recepción podría ser problemático al hacer que el software piense que se recibe un paquete en la banda de 6 GHz, incluso si el chip no la admite. Dado que el software no inicializa elementos para bandas no compatibles, se producirá una desreferencia NULL en la secuencia rtw89_vif_rx_stats_iter() -> rtw89_core_cancel_6ghz_probe_tx(). Por lo tanto, se debe añadir una comprobación para evitarlo. A continuación, se muestra un registro de fallos para este caso. ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000032 #PF: acceso de lectura del supervisor en modo kernel #PF: error_code(0x0000) - página no presente PGD 0 P4D 0 Oops: 0000 [#1] PREEMPT SMP NOPTI CPU: 1 PID: 1907 Comm: irq/131-rtw89_p Tainted: GU 6.6.56-05896-g89f5fb0eb30b #1 (HASH:1400 4) Nombre del hardware: Google Telith/Telith, BIOS Google_Telith.15217.747.0 11/12/2024 RIP: 0010:rtw89_vif_rx_stats_iter+0xd2/0x310 [rtw89_core] Código: 4c 89 7d c8 48 89 55 c0 49 8d 44 24 02 48 89 45 b8 45 31 ff eb 11 41 c6 45 3a 01 41 b7 01 4d 8b 6d 00 4d 39 f5 74 42 8b 43 10 <41> 33 45 32 0f b7 4b 14 66 41 33 4d 36 0f b7 c9 09 c1 74 d8 4d 85 RSP: 0018:ffff9f3080138ca0 EFLAGS: 00010246 RAX: 00000000b8bf5770RBX: ffff91b5e8c639c0 RCX: 00000000000000011 RDX: ffff91b582de1be8 RSI: 0000000000000000 RDI: ffff91b5e8c639e6 RBP: ffff9f3080138d00 R08: 0000000000000000 R09: 00000000000000000 R10: ffff91b59de70000 R11: ffffffffc069be50 R12: ffff91b5e8c639e4 R13: 0000000000000000 R14: ffff91b5828020b8 R15: 0000000000000000 FS: 0000000000000000(0000) GS:ffff91b8efa40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000000000000032 CR3: 00000002bf838000 CR4: 0000000000750ee0 PKRU: 55555554 Rastreo de llamadas: ? __die_body+0x68/0xb0 ? error_página_oops+0x379/0x3e0 ? error_página_oops+0x4f/0xa0 ? error_página_oops+0x22/0x30 ? __pfx_rtw89_vif_rx_stats_iter+0x10/0x10 [núcleo_rtw89 (HASH:1400 5)] ? rtw89_vif_rx_stats_iter+0xd2/0x310 [núcleo_rtw89 (HASH:1400 5)] __iterate_interfaces+0x59/0x110 [mac80211 (HASH:1400 6)] ? __pfx_rtw89_vif_rx_stats_iter+0x10/0x10 [núcleo rtw89 (HASH:1400 5)] ? __pfx_rtw89_vif_rx_stats_iter+0x10/0x10 [núcleo rtw89 (HASH:1400 5)] ieee80211_iterar_interfaces_activas_atómicas+0x36/0x50 [mac80211 (HASH:1400 6)] rtw89_núcleo_rx_a_mac80211+0xfd/0x1b0 [núcleo rtw89 (HASH:1400 5)] rtw89_núcleo_rx+0x43a/0x980 [núcleo rtw89 (HASH:1400 5)]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: cfg80211: Se ha añadido un bloqueo faltante en cfg80211_check_and_end_cac(). Quienes llaman a wdev_chandef() deben mantener el mutex de wiphy. Sin embargo, el trabajador cfg80211_propagate_cac_done_wk() nunca asume el bloqueo. Lo que activa la advertencia a continuación con la prueba mesh_peer_connected_dfs de hostapd y los cambios de código mac80211 no publicados (aún): ADVERTENCIA: CPU: 0 PID: 495 en net/wireless/chan.c:1552 wdev_chandef+0x60/0x165 Módulos vinculados: CPU: 0 UID: 0 PID: 495 Comm: kworker/u4:2 No contaminado 6.14.0-rc5-wt-g03960e6f9d47 #33 13c287eeabfe1efea01c0bcc863723ab082e17cf Cola de trabajo: cfg80211 cfg80211_propagate_cac_done_wk Pila: 00000000 00000001 ffffff00 6093267c 00000000 6002ec30 6d577c50 60037608 00000000 67e8d108 6063717b 00000000 Rastreo de llamadas: [<6002ec30>] ? _printk+0x0/0x98 [<6003c2b3>] show_stack+0x10e/0x11a [<6002ec30>] ? _printk+0x0/0x98 [<60037608>] dump_stack_lvl+0x71/0xb8 [<6063717b>] ? __warn+0x101/0x20f [<6005d3a8>] warn_slowpath_fmt+0xe3/0x15d [<600b0c5c>] ? mark_lock.part.0+0x0/0x4ec [<60751191>] ? __this_cpu_preempt_check+0x0/0x16 [<600b11a2>] ? mark_held_locks+0x5a/0x6e [<6005d2c5>] ? warn_slowpath_fmt+0x0/0x15d [<60052e53>] ? unblock_signals+0x3a/0xe7 [<60052f2d>] ? um_set_signals+0x2d/0x43 [<60751191>] ? __this_cpu_preempt_check+0x0/0x16 [<607508b2>] ? lock_is_held_type+0x207/0x21f [<6063717b>] wdev_chandef+0x60/0x165 [<605f89b4>] regulatory_propagate_dfs_state+0x247/0x43f [<60052f00>] ? um_set_signals+0x0/0x43 [<605e6bfd>] cfg80211_propagate_cac_done_wk+0x3a/0x4a [<6007e460>] proceso_trabajos_programados+0x3bc/0x60e [<6007d0ec>] ? mover_trabajos_vinculados+0x4d/0x81 [<6007d120>] ? asignar_trabajo+0x0/0xaa [<6007f81f>] subproceso_trabajador+0x220/0x2dc [<600786ef>] ? establecer_pf_trabajador+0x0/0x57 [<60087c96>] ? hilo_trabajador+0x0/0x2dc [<6006c05b>] ? calculate_sigpending+0x0/0x56 [<6003b37d>] new_thread_handler+0x4a/0x64 marca de evento de irq: 614611 hardirqs habilitados por última vez en (614621): [<00000000600bc96b>] __up_console_sem+0x82/0xaf hardirqs deshabilitados por última vez en (614630): [<00000000600bc92c>] __up_console_sem+0x43/0xaf softirqs habilitados por última vez en (614268): [<00000000606c55c6>] __ieee80211_wake_queue+0x933/0x985 softirqs deshabilitados por última vez en (614266): [<00000000606c52d6>] __ieee80211_wake_queue+0x643/0x985

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: xt_nfacct: no asuma que el nombre de la cuenta termina en nulo BUG: KASAN: slab-out-of-bounds in .. lib/vsprintf.c:721 Read of size 1 at addr ffff88801eac95c8 by task syz-executor183/5851 [..] string+0x231/0x2b0 lib/vsprintf.c:721 vsnprintf+0x739/0xf00 lib/vsprintf.c:2874 [..] nfacct_mt_checkentry+0xd2/0xe0 net/netfilter/xt_nfacct.c:41 xt_check_match+0x3d1/0xab0 net/netfilter/x_tables.c:523 nfnl_acct_find_get() maneja entradas no nulas, pero el error printk dependía de su presencia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: clk: davinci: Añadir comprobación de NULL en davinci_lpsc_clk_register(). Devm_kasprintf() devuelve NULL cuando falla la asignación de memoria. Actualmente, davinci_lpsc_clk_register() no comprueba este caso, lo que resulta en una desreferencia de puntero NULL. Añadir comprobación de NULL después de devm_kasprintf() para evitar este problema y garantizar que no queden recursos asignados.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: power: supply: cpcap-charger: Se corrige la comprobación de valores nulos para power_supply_get_by_name. En la función cpcap_usb_detect(), la función power_supply_get_by_name() puede devolver `NULL` en lugar de un puntero de error. Para evitar posibles desreferencias de punteros nulos, se ha añadido una comprobación de valores nulos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv6: añadir una lógica de reintento en net6_rt_notify(). inet6_rt_notify() solo se puede ejecutar bajo la protección de RCU. Esto significa que la ruta podría modificarse simultáneamente y que rt6_fill_node() podría devolver -EMSGSIZE. Redimensione el skb cuando esto suceda y vuelva a intentarlo, eliminando un WARN_ON() que syzbot pudo activar: WARNING: CPU: 3 PID: 6291 at net/ipv6/route.c:6342 inet6_rt_notify+0x475/0x4b0 net/ipv6/route.c:6342 Modules linked in: CPU: 3 UID: 0 PID: 6291 Comm: syz.0.77 Not tainted 6.16.0-rc7-syzkaller #0 PREEMPT(full) Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 RIP: 0010:inet6_rt_notify+0x475/0x4b0 net/ipv6/route.c:6342 Code: fc ff ff e8 6d 52 ea f7 e9 47 fc ff ff 48 8b 7c 24 08 4c 89 04 24 e8 5a 52 ea f7 4c 8b 04 24 e9 94 fd ff ff e8 9c fe 84 f7 90 <0f> 0b 90 e9 bd fd ff ff e8 6e 52 ea f7 e9 bb fb ff ff 48 89 df e8 RSP: 0018:ffffc900035cf1d8 EFLAGS: 00010293 RAX: 0000000000000000 RBX: ffffc900035cf540 RCX: ffffffff8a36e790 RDX: ffff88802f7e8000 RSI: ffffffff8a36e9d4 RDI: 0000000000000005 RBP: ffff88803c230f00 R08: 0000000000000005 R09: 00000000ffffffa6 R10: 00000000ffffffa6 R11: 0000000000000001 R12: 00000000ffffffa6 R13: 0000000000000900 R14: ffff888032ea4100 R15: 0000000000000000 FS: 00007fac7b89a6c0(0000) GS:ffff8880d6a20000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fac7b899f98 CR3: 0000000034b3f000 CR4: 0000000000352ef0 Call Trace: ip6_route_mpath_notify+0xde/0x280 net/ipv6/route.c:5356 ip6_route_multipath_add+0x1181/0x1bd0 net/ipv6/route.c:5536 inet6_rtm_newroute+0xe4/0x1a0 net/ipv6/route.c:5647 rtnetlink_rcv_msg+0x95e/0xe90 net/core/rtnetlink.c:6944 netlink_rcv_skb+0x155/0x420 net/netlink/af_netlink.c:2552 netlink_unicast_kernel net/netlink/af_netlink.c:1320 [inline] netlink_unicast+0x58d/0x850 net/netlink/af_netlink.c:1346 netlink_sendmsg+0x8d1/0xdd0 net/netlink/af_netlink.c:1896 sock_sendmsg_nosec net/socket.c:712 [inline] __sock_sendmsg net/socket.c:727 [inline] ____sys_sendmsg+0xa95/0xc70 net/socket.c:2566 ___sys_sendmsg+0x134/0x1d0 net/socket.c:2620