Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: eth: fbnic: al desvincular NAPIs de las colas en caso de error al abrir CI, se encontró una UaF en fbnic en la sección AF_XDP de la prueba queues.py. La UaF se encuentra en la llamada __sk_mark_napi_id_once() en xsk_bind(); la NAPI se ha liberado. Parece que el dispositivo no se abrió previamente y nos falta borrar el puntero NAPI de la cola.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/sched: mqprio: se corrige una escritura fuera de los límites en la pila durante el análisis de la entrada tc. TCA_MQPRIO_TC_ENTRY_INDEX se valida mediante NLA_POLICY_MAX(NLA_U32, TC_QOPT_MAX_QUEUE), que permite el valor TC_QOPT_MAX_QUEUE (16). Esto provoca una escritura fuera de los límites de 4 bytes en la matriz fp[], que solo admite 16 elementos (0-15). Para solucionar esto, modifique la política para permitir solo hasta TC_QOPT_MAX_QUEUE - 1.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: evitar fuga de referencia en nfsd_open_local_fh(). Si se ejecutan dos llamadas a nfsd_open_local_fh() y ambas invocan correctamente nfsd_file_acquire_local(), ambas obtendrán una referencia adicional a la red que acompaña a la referencia del archivo almacenada en *pnf. Una de ellas no almacenará (mediante xchg()) la referencia del archivo en *pnf y la eliminará, pero NO eliminará la referencia que la acompaña a la red. Esta fuga significa que, al apagar el servidor NFS, se bloqueará en nfsd_shutdown_net() esperando &nn->nfsd_net_free_done. Este parche añade la función nfsd_net_put() que faltaba.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige la condición de ejecución Preauh_HashValue. Si el cliente envía varias solicitudes de configuración de sesión a ksmbd, podría producirse la condición de ejecución Preauh_HashValue. No es necesario liberar sess->Preauh_HashValue durante la configuración de la sesión. Se puede liberar junto con la sesión al finalizar la conexión.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige el error de desreferencia de puntero nulo en generate_encryptionkey. Si el cliente envía dos configuraciones de sesión con autenticación krb5 a ksmbd, podría producirse un error de desreferencia de puntero nulo en generate_encryptionkey. "sess->Preauth_HashValue" se establece en NULL si la sesión es válida. Por lo tanto, este parche omite la generación de la clave de cifrado si la sesión es válida.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/core: Prevenir la división de VMA de las asignaciones de búfer El código perf mmap es cuidadoso al realizar mmap() en la página de usuario con el búfer de anillo y, adicionalmente, el búfer auxiliar, cuando el evento lo admite. Una vez que se establece la primera asignación, las asignaciones posteriores deben usar el mismo desplazamiento y el mismo tamaño en ambos casos. El recuento de referencias para el búfer de anillo y el búfer auxiliar depende de que esto sea correcto. Aunque perf no impide que una asignación relacionada se divida mediante mmap(2), munmap(2) o mremap(2). Una división de una VMA da como resultado llamadas a perf_mmap_open(), que toman recuentos de referencias, pero luego las llamadas perf_mmap_close() posteriores ya no cumplen con las comprobaciones de desplazamiento y tamaño. Esto conduce a fugas de recuento de referencias. Como perf ya tiene el requisito de que las asignaciones posteriores coincidan con la asignación inicial, la consecuencia obvia es que se deben evitar las divisiones de VMA, causadas por el cambio de tamaño de una asignación o la desasignación parcial. Implemente la función de retorno vm_operations_struct::may_split() y devuelva incondicionalmente -EINVAL. Esto garantiza que los desplazamientos y tamaños de la asignación no se puedan modificar posteriormente. La reasignación a una dirección fija diferente con el mismo tamaño sigue siendo posible, ya que toma las referencias de la nueva asignación y descarta las de la asignación anterior.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: uvc: Inicializar descriptor de coincidencia de color de formato basado en frame. Se corrige el fallo del puntero nulo en uvcg_framebased_make debido a un descriptor de coincidencia de color no inicializado para el formato basado en frame, que se añadió en el commit f5e7bdd34aca ("usb: gadget: uvc: Permitir la creación de nuevos descriptores de coincidencia de color") que agregó el manejo para el formato sin comprimir y mjpeg. El fallo se observa cuando la configuración del espacio de usuario (a través de configfs) no define explícitamente el descriptor de coincidencia de color. Si no se encuentra color_matching, config_group_find_item() devuelve NULL. El código luego salta a out_put_cm, donde llama a config_item_put(color_matching);. Si color_matching es NULL, esto desreferenciará un puntero nulo, lo que provocará un fallo. [ 2.746440] No se puede manejar la desreferencia del puntero NULL del núcleo en la dirección virtual 000000000000008c [ 2.756273] Información de aborto de memoria: [ 2.760080] ESR = 0x0000000096000005 [ 2.764872] EC = 0x25: DABT (current EL), IL = 32 bits [ 2.771068] SET = 0, FnV = 0 [ 2.771069] EA = 0, S1PTW = 0 [ 2.771070] FSC = 0x05: level 1 translation fault [ 2.771071] Data abort info: [ 2.771072] ISV = 0, ISS = 0x00000005, ISS2 = 0x00000000 [ 2.771073] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 2.771074] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 2.771075] user pgtable: 4k pages, 39-bit VAs, pgdp=00000000a3e59000 [ 2.771077] [000000000000008c] pgd=0000000000000000, p4d=0000000000000000, pud=0000000000000000 [ 2.771081] Internal error: Oops: 0000000096000005 [#1] PREEMPT SMP [ 2.771084] Dumping ftrace buffer: [ 2.771085] (ftrace buffer empty) [ 2.771138] CPU: 7 PID: 486 Comm: ln Tainted: G W E 6.6.58-android15 [ 2.771139] Hardware name: Qualcomm Technologies, Inc. SunP QRD HDK (DT) [ 2.771140] pstate: 61400005 (nZCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) [ 2.771141] pc : __uvcg_fill_strm+0x198/0x2cc [ 2.771145] lr : __uvcg_iter_strm_cls+0xc8/0x17c [ 2.771146] sp : ffffffc08140bbb0 [ 2.771146] x29: ffffffc08140bbb0 x28: ffffff803bc81380 x27: ffffff8023bbd250 [ 2.771147] x26: ffffff8023bbd250 x25: ffffff803c361348 x24: ffffff803d8e6768 [ 2.771148] x23: 0000000000000004 x22: 0000000000000003 x21: ffffffc08140bc48 [ 2.771149] x20: 0000000000000000 x19: ffffffc08140bc48 x18: ffffffe9f8cf4a00 [ 2.771150] x17: 000000001bf64ec3 x16: 000000001bf64ec3 x15: ffffff8023bbd250 [ 2.771151] x14: 000000000000000f x13: 004c4b40000f4240 x12: 000a2c2a00051615 [ 2.771152] x11: 000000000000004f x10: ffffffe9f76b40ec x9 : ffffffe9f7e389d0 [ 2.771153] x8 : ffffff803d0d31ce x7 : 000f4240000a2c2a x6 : 0005161500028b0a [ 2.771154] x5 : ffffff803d0d31ce x4 : 0000000000000003 x3 : 0000000000000000 [ 2.771155] x2 : ffffffc08140bc50 x1 : ffffffc08140bc48 x0 : 0000000000000000 [ 2.771156] Call trace: [ 2.771157] __uvcg_fill_strm+0x198/0x2cc [ 2.771157] __uvcg_iter_strm_cls+0xc8/0x17c [ 2.771158] uvcg_streaming_class_allow_link+0x240/0x290 [ 2.771159] configfs_symlink+0x1f8/0x630 [ 2.771161] vfs_symlink+0x114/0x1a0 [ 2.771163] do_symlinkat+0x94/0x28c [ 2.771164] __arm64_sys_symlinkat+0x54/0x70 [ 2.771164] invoke_syscall+0x58/0x114 [ 2.771166] el0_svc_common+0x80/0xe0 [ 2.771168] do_el0_svc+0x1c/0x28 [ 2.771169] el0_svc+0x3c/0x70 [ 2.771172] el0t_64_sync_handler+0x68/0xbc [ 2.771173] el0t_64_sync+0x1a8/0x1ac Inicializa el descriptor de coincidencia de color para el formato basado en frame para evitar el bloqueo del puntero NULL reflejando el manejo realizado para los formatos sin comprimir y mjpeg.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: platform/x86/intel/pmt: corrección de un acceso a puntero nulo en el registro de fallos. El uso de intel_pmt_read() para sistemas binarios sysfs requiere un pcidev. El uso actual del valor del endpoint solo es válido para el uso de endpoints de telemetría. Sin el ep, el uso del registro de fallos provoca la siguiente excepción de puntero nulo: ERROR: desreferencia de puntero nulo del kernel, dirección: 0000000000000000 ¡Uy!: ¡Uy!: 0000 [#1] SMP NOPTI RIP: 0010:intel_pmt_read+0x3b/0x70 [pmt_class] Código: Seguimiento de llamadas: ? Aumente la estructura intel_pmt_entry con un puntero a pcidev para evitar la excepción del puntero NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/core: Manejar el error de mapeo de búfer correctamente en perf_mmap() Después de la asignación exitosa de un búfer o una conexión exitosa a un búfer existente, perf_mmap() intenta mapear el búfer de solo lectura en la tabla de páginas. Si eso falla, las entradas de la tabla de páginas ya configuradas se eliminan, pero los otros efectos secundarios específicos de perf de ese fallo no se manejan. El código de llamada simplemente limpia el VMA y no invoca perf_mmap_close(). Esto filtra los recuentos de referencia, corrompe la contabilidad de usuario->vm y también resulta en una invocación desequilibrada de event::event_mapped(). Solucione esto moviendo la invocación de event::event_mapped() antes de la llamada a map_range() para que en el fallo de map_range() se pueda invocar perf_mmap_close() sin causar una llamada desequilibrada a event::event_unmapped(). perf_mmap_close() deshace los recuentos de referencia y eventualmente libera los búferes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/sev: Expulsar líneas de caché durante la validación de memoria SNP Una vulnerabilidad de coherencia de caché SNP requiere una mitigación de expulsión de línea de caché al validar la memoria después de un cambio de estado de página a privado. La mitigación específica es tocar el primer y el último byte de cada página de 4K que se está validando. No es necesario realizar la mitigación cuando se realiza un cambio de estado de página a compartido y se rescinde la validación. El bit CPUID Fn8000001F_EBX[31] define el bit COHERENCY_SFW_NO CPUID que, cuando se establece, indica que no se necesita la mitigación de software para esta vulnerabilidad. Implemente la mitigación e invóquela al validar la memoria (haciéndola privada) y el bit COHERENCY_SFW_NO no está establecido, lo que indica que el invitado SNP es vulnerable.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: corrección del problema de use-after-free en composite_dev_cleanup(). 1. En la función configfs_composite_bind() -> composite_os_desc_req_prepare(): si kmalloc falla, el puntero cdev->os_desc_req se liberará, pero no se establecerá en NULL. En ese caso, devolverá un error a la función de nivel superior. 2. En la función configfs_composite_bind() -> composite_dev_cleanup(): comprobará si cdev->os_desc_req es NULL. Si no lo es, intentará usarlo. Esto provocará un problema de use-after-free. ERROR: KASAN: use-after-free en composite_dev_cleanup+0xf4/0x2c0 Lectura de tamaño 8 en la dirección 0000004827837a00 por la tarea init/1 CPU: 10 PID: 1 Comm: init Contaminado: GO 5.10.97-oh #1 kasan_report+0x188/0x1cc __asan_load8+0xb4/0xbc composite_dev_cleanup+0xf4/0x2c0 configfs_composite_bind+0x210/0x7ac udc_bind_to_driver+0xb4/0x1ec usb_gadget_probe_driver+0xec/0x21c gadget_dev_desc_UDC_store+0x264/0x27c

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: se corrige un UAF cuando vma->mm se libera después de que vma->vm_refcnt se eliminara. Al inducir retrasos en los lugares adecuados, Jann Horn creó un reproductor para un problema de UAF difícil de alcanzar que se hizo posible después de que se permitiera reciclar los VMA agregando SLAB_TYPESAFE_BY_RCU a su caché. La descripción de la ejecución se tomó prestada del informe de descubrimiento de Jann: lock_vma_under_rcu() busca un VMA sin bloqueo con mas_walk() bajo rcu_read_lock(). En ese punto, el VMA puede liberarse simultáneamente y puede reciclarse por otro proceso. vma_start_read() luego incrementa vma->vm_refcnt (si está en un rango aceptable) y, si esto tiene éxito, vma_start_read() puede devolver un VMA reciclado. En este escenario, donde el VMA se ha reciclado, lock_vma_under_rcu() detectará el puntero ->vm_mm no coincidente y eliminará el VMA mediante vma_end_read(), que llama a vma_refcount_put(). vma_refcount_put() elimina el recuento de referencias y luego llama a rcuwait_wake_up() usando una copia de vma->vm_mm. Esto es incorrecto: asume implícitamente que quien llama mantiene activo el mm del VMA, pero en este escenario, quien llama no tiene relación con el mm del VMA, por lo que rcuwait_wake_up() puede causar UAF. El diagrama que representa la ejecución: T1 T2 T3 == == == lock_vma_under_rcu mas_walk mmap vma_start_read __refcount_inc_not_zero_limited_acquire munmap __vma_enter_locked refcount_add_not_zero vma_end_read vma_refcount_put __refcount_dec_and_test rcuwait_wait_event rcuwait_wake_up [UAF] Tenga en cuenta que rcuwait_wait_event() en T3 no se bloquea porque refcount ya fue descartado por T1. En este punto, T3 puede salir y liberar el mm que causa UAF en T1. Para evitar esto, movemos la verificación vma->vm_mm a vma_start_read() y tomamos vma->vm_mm para estabilizarlo antes de la operación vma_refcount_put(). [surenb@google.com: v3]