Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs/fhandle.c: se corrige una ejecución en la llamada a has_locked_children(). may_decode_fh() llama a has_locked_children() sin bloqueos. Esta es una ejecución que puede fallar. El resto de los invocadores están seguros, ya que mantienen namespace_sem y se les garantiza un recuento de referencias positivo en el montaje en cuestión. Cambie el nombre de has_locked_children() actual a __has_locked_children(), conviértalo en estático y cambie los usuarios de fs/namespace.c a él. Convierta has_locked_children() en un contenedor para __has_locked_children(), invocándolo bajo read_seqlock_excl(&mount_lock).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: Intel: avs: Verificar el contenido devuelto por parse_int_array(). El primer elemento de la matriz devuelta almacena su longitud. Si es 0, cualquier manipulación más allá del elemento en el índice 0 termina con null-ptr-deref.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: Intel: avs: Se corrige la posible desreferencia de PTR nula al inicializar hardware. El resultado de la búsqueda de avs_dai_find_path_template() debe verificarse antes de usarse. Dado que "template" ya se conoce al ejecutar avs_hw_constraints_init(), se omite la búsqueda por completo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe/vm: mover xe_svm_init() antes. En xe_vm_close_and_put(), debemos poder llamar a xe_svm_fini(); sin embargo, durante la creación de la máquina virtual, podemos llamarlo en la ruta de error, antes de haber inicializado realmente el estado de svm, lo que provoca varios splats seguidos de un NPD fatal. (seleccionado del commit 4f296d77cf49fcb5f90b4674123ad7f3a0676165)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: seg6: Se corrige la validación de direcciones de siguiente salto. El kernel actualmente valida que la longitud de la dirección de siguiente salto proporcionada no supere la longitud especificada. Esto puede provocar que el kernel lea memoria no inicializada si el espacio de usuario proporcionó una longitud menor que la especificada. Se corrige validando que la longitud proporcionada coincida exactamente con la especificada.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: ath12k: corrección del acceso nulo en el controlador de contexto de asignación de canal. Actualmente, cuando ath12k_mac_assign_vif_to_vdev() falla, se accede al controlador de radio (ar) desde el controlador VIF del enlace (arvif) para el registro de depuración. Esto es incorrecto. En el escenario de fallo, el controlador de radio es nulo. Corrija el acceso nulo y evite el acceso al controlador de radio migrando a la función auxiliar de registro de depuración de hardware (ath12k_hw_warn). Probado en: QCN9274 hw2.0 PCI WLAN.WBE.1.3.1-00173-QCAHKSWPL_SILICONZ-1. Probado en: WCN7850 hw2.0 PCI WLAN.HMT.1.0.c5-00481-QCAHMTSWPL_V1.0_V2.0_SILICONZ-3.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/amlogic: Reemplazar smp_processor_id() por raw_smp_processor_id() en meson_ddr_pmu_create(). La función meson_ddr_pmu_create() del controlador PMU DDR de Amlogic utiliza incorrectamente smp_processor_id(), que presupone la preempción deshabilitada. Esto genera advertencias del kernel durante la carga del módulo, ya que meson_ddr_pmu_create() puede invocarse en un contexto preemptible. Siguiente advertencia del kernel y seguimiento de la pila: [ 31.745138] [ T2289] ERROR: using smp_processor_id() in preemptible [00000000] code: (udev-worker)/2289 [ 31.745154] [ T2289] caller is debug_smp_processor_id+0x28/0x38 [ 31.745172] [ T2289] CPU: 4 UID: 0 PID: 2289 Comm: (udev-worker) Tainted: GW 6.14.0-0-MANJARO-ARM #1 59519addcbca6ba8de735e151fd7b9e97aac7ff0 [ 31.745181] [ T2289] Tainted: [W]=WARN [ 31.745183] [ T2289] Hardware name: Hardkernel ODROID-N2Plus (DT) [ 31.745188] [ T2289] Call trace: [ 31.745191] [ T2289] show_stack+0x28/0x40 (C) [ 31.745199] [ T2289] dump_stack_lvl+0x4c/0x198 [ 31.745205] [ T2289] dump_stack+0x20/0x50 [ 31.745209] [ T2289] check_preemption_disabled+0xec/0xf0 [ 31.745213] [ T2289] debug_smp_processor_id+0x28/0x38 [ 31.745216] [ T2289] meson_ddr_pmu_create+0x200/0x560 [meson_ddr_pmu_g12 8095101c49676ad138d9961e3eddaee10acca7bd] [ 31.745237] [ T2289] g12_ddr_pmu_probe+0x20/0x38 [meson_ddr_pmu_g12 8095101c49676ad138d9961e3eddaee10acca7bd] [ 31.745246] [ T2289] platform_probe+0x98/0xe0 [ 31.745254] [ T2289] really_probe+0x144/0x3f8 [ 31.745258] [ T2289] __driver_probe_device+0xb8/0x180 [ 31.745261] [ T2289] driver_probe_device+0x54/0x268 [ 31.745264] [ T2289] __driver_attach+0x11c/0x288 [ 31.745267] [ T2289] bus_for_each_dev+0xfc/0x160 [ 31.745274] [ T2289] driver_attach+0x34/0x50 [ 31.745277] [ T2289] bus_add_driver+0x160/0x2b0 [ 31.745281] [ T2289] driver_register+0x78/0x120 [ 31.745285] [ T2289] __platform_driver_register+0x30/0x48 [ 31.745288] [ T2289] init_module+0x30/0xfe0 [meson_ddr_pmu_g12 8095101c49676ad138d9961e3eddaee10acca7bd] [ 31.745298] [ T2289] do_one_initcall+0x11c/0x438 [ 31.745303] [ T2289] do_init_module+0x68/0x228 [ 31.745311] [ T2289] load_module+0x118c/0x13a8 [ 31.745315] [ T2289] __arm64_sys_finit_module+0x274/0x390 [ 31.745320] [ T2289] invoke_syscall+0x74/0x108 [ 31.745326] [ T2289] el0_svc_common+0x90/0xf8 [ 31.745330] [ T2289] do_el0_svc+0x2c/0x48 [ 31.745333] [ T2289] el0_svc+0x60/0x150 [ 31.745337] [ T2289] el0t_64_sync_handler+0x80/0x118 [ 31.745341] [ T2289] el0t_64_sync+0x1b8/0x1c0 Los cambios reemplazan smp_processor_id() con raw_smp_processor_id() para garantizar la recuperación segura de la ID de la CPU en contextos preemptibles.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ACPI: platform_profile: Evitar la inicialización en plataformas sin ACPI. El controlador de perfil de plataforma se carga incluso en plataformas que no tienen ACPI habilitado. La inicialización de las entradas sysfs se trasladó recientemente de platform_profile_register() a la llamada init del módulo, y estas entradas requieren la inicialización de acpi_kobj, lo cual no ocurre cuando ACPI está deshabilitado. Esto genera la siguiente advertencia: ADVERTENCIA: CPU: 5 PID: 1 en fs/sysfs/group.c:131 internal_create_group+0xa22/0xdd8 Módulos vinculados: CPU: 5 UID: 0 PID: 1 Comm: swapper/0 Contaminado: GW 6.15.0-rc7-dirty #6 PREEMPT Contaminado: [W]=WARN Nombre del hardware: riscv-virtio,qemu (DT) epc : internal_create_group+0xa22/0xdd8 ra : internal_create_group+0xa22/0xdd8 Rastreo de llamadas: internal_create_group+0xa22/0xdd8 sysfs_create_group+0x22/0x2e platform_profile_init+0x74/0xb2 do_one_initcall+0x198/0xa9e kernel_init_freeable+0x6d8/0x780 kernel_init+0x28/0x24c ret_from_fork+0xe/0x18 Solucione esto comprobando si ACPI está habilitado antes de intentar crear entradas sysfs. [ rjw: Ediciones de asunto y registro de cambios ]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PM: EM: Se corrige un posible error de división por cero en em_compute_costs(). Cuando el dispositivo no es de tipo CPU, table[i].performance no se inicializa en la función em_init_performance() anterior, lo que resulta en una división por cero al calcular los costos en em_compute_costs(). Dado que el algoritmo "cost" solo se utiliza para cálculos de eficiencia energética de EAS y actualmente no lo utilizan otros controladores de dispositivos, se debe agregar la comprobación _is_cpu_device(dev) para evitar este problema de división por cero.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: EDAC/skx_common: Corregir fallo de protección general Después de cargar i10nm_edac (que carga automáticamente skx_edac_common), si solo se descarga i10nm_edac, luego se vuelve a cargar y se realizan pruebas de inyección de errores, puede ocurrir un fallo de protección general: mce: [Error de hardware]: Se registraron eventos de comprobación de la máquina Oops: fallo de protección general ... ... Cola de trabajo: eventos mce_gen_pool_process RIP: 0010:string+0x53/0xe0 ... Rastreo de llamadas: ? die_addr+0x37/0x90 ? exc_general_protection+0x1e7/0x3f0 ? asm_exc_general_protection+0x26/0x30 ? string+0x53/0xe0 vsnprintf+0x23e/0x4c0 snprintf+0x4d/0x70 skx_adxl_decode+0x16a/0x330 [skx_edac_common] skx_mce_check_error.part.0+0xf8/0x220 [skx_edac_common] skx_mce_check_error+0x17/0x20 [skx_edac_common] ... El problema surgió porque la variable 'adxl_component_count' (dentro de skx_edac_common), que cuenta los componentes ADXL, no se restableció. Durante la recarga de i10nm_edac, el recuento se incrementó de nuevo según el número real de componentes ADXL, lo que resultó en un recuento que duplicó el número real de componentes ADXL. Esto provocó una referencia fuera de los límites a la matriz de componentes ADXL, lo que provocó el fallo de protección general mencionado anteriormente. Solucione este problema restableciendo 'adxl_component_count' en adxl_put(), que se llama durante la descarga de {skx,i10nm}_edac.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: mediatek: mt8195: Establecer ETDM1/2 IN/OUT como COMP_DUMMY(). ETDM2_IN_BE y ETDM1_OUT_BE se definen como COMP_EMPTY(); en ese caso, el códec dai_name será nulo. Se evita un bloqueo si el árbol de dispositivos no asigna un códec a estos enlaces. [ 1.179936] No se puede manejar la desreferencia del puntero NULL del núcleo en la dirección virtual 0000000000000000 [ 1.181065] Mem abort info: [ 1.181420] ESR = 0x0000000096000004 [ 1.181892] EC = 0x25: DABT (current EL), IL = 32 bits [ 1.182576] SET = 0, FnV = 0 [ 1.182964] EA = 0, S1PTW = 0 [ 1.183367] FSC = 0x04: level 0 translation fault [ 1.183983] Data abort info: [ 1.184406] ISV = 0, ISS = 0x00000004, ISS2 = 0x00000000 [ 1.185097] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 1.185766] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 1.186439] [0000000000000000] user address but active_mm is swapper [ 1.187239] Internal error: Oops: 0000000096000004 [#1] PREEMPT SMP [ 1.188029] Modules linked in: [ 1.188420] CPU: 7 UID: 0 PID: 70 Comm: kworker/u32:1 Not tainted 6.14.0-rc4-next-20250226+ #85 [ 1.189515] Hardware name: Radxa NIO 12L (DT) [ 1.190065] Workqueue: events_unbound deferred_probe_work_func [ 1.190808] pstate: 40400009 (nZcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 1.191683] pc : __pi_strcmp+0x24/0x140 [ 1.192170] lr : mt8195_mt6359_soc_card_probe+0x224/0x7b0 [ 1.192854] sp : ffff800083473970 [ 1.193271] x29: ffff800083473a10 x28: 0000000000001008 x27: 0000000000000002 [ 1.194168] x26: ffff800082408960 x25: ffff800082417db0 x24: ffff800082417d88 [ 1.195065] x23: 000000000000001e x22: ffff800082dbf480 x21: ffff800082dc07b8 [ 1.195961] x20: 0000000000000000 x19: 0000000000000013 x18: 00000000ffffffff [ 1.196858] x17: 000000040044ffff x16: 005000f2b5503510 x15: 0000000000000006 [ 1.197755] x14: ffff800082407af0 x13: 6e6f69737265766e x12: 692d6b636f6c6374 [ 1.198651] x11: 0000000000000002 x10: ffff80008240b920 x9 : 0000000000000018 [ 1.199547] x8 : 0101010101010101 x7 : 0000000000000000 x6 : 0000000000000000 [ 1.200443] x5 : 0000000000000000 x4 : 8080808080000000 x3 : 303933383978616d [ 1.201339] x2 : 0000000000000000 x1 : ffff80008240b920 x0 : 0000000000000000 [ 1.202236] Call trace: [ 1.202545] __pi_strcmp+0x24/0x140 (P) [ 1.203029] mtk_soundcard_common_probe+0x3bc/0x5b8 [ 1.203644] platform_probe+0x70/0xe8 [ 1.204106] really_probe+0xc8/0x3a0 [ 1.204556] __driver_probe_device+0x84/0x160 [ 1.205104] driver_probe_device+0x44/0x130 [ 1.205630] __device_attach_driver+0xc4/0x170 [ 1.206189] bus_for_each_drv+0x8c/0xf8 [ 1.206672] __device_attach+0xa8/0x1c8 [ 1.207155] device_initial_probe+0x1c/0x30 [ 1.207681] bus_probe_device+0xb0/0xc0 [ 1.208165] deferred_probe_work_func+0xa4/0x100 [ 1.208747] process_one_work+0x158/0x3e0 [ 1.209254] worker_thread+0x2c4/0x3e8 [ 1.209727] kthread+0x134/0x1f0 [ 1.210136] ret_from_fork+0x10/0x20 [ 1.210589] Code: 54000401 b50002c6 d503201f f86a6803 (f8408402) [ 1.211355] ---[ fin de seguimiento 0000000000000000 ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: sun8i-ce-cipher - corrección del manejo de errores en sun8i_ce_cipher_prepare(). Se corrigen dos problemas de limpieza de DMA en la ruta de error en sun8i_ce_cipher_prepare(): 1] Si dma_map_sg() falla para areq->dst, el controlador del dispositivo intentaría liberar memoria DMA que no había asignado inicialmente. Para corregir esto, en la ruta de error "theend_sgs", ejecute dma unmap solo si la asignación de DMA correspondiente se realizó correctamente. 2] Si falla la llamada a dma_map_single() para el IV, el controlador del dispositivo intentará liberar una dirección de memoria DMA no válida en la ruta "theend_iv": ------------[ cortar aquí ]------------ DMA-API: sun8i-ce 1904000.crypto: el controlador del dispositivo intenta liberar una dirección de memoria DMA no válida ADVERTENCIA: CPU: 2 PID: 69 en kernel/dma/debug.c:968 check_unmap+0x123c/0x1b90 Módulos vinculados: skcipher_example(O+) CPU: 2 UID: 0 PID: 69 Comm: 1904000.crypto- Tainted: GO 6.15.0-rc3+ #24 PREEMPT Tainted: [O]=OOT_MODULE Nombre del hardware: OrangePi Zero2 (DT) pc : check_unmap+0x123c/0x1b90 lr : check_unmap+0x123c/0x1b90 ... Rastreo de llamada: check_unmap+0x123c/0x1b90 (P) debug_dma_unmap_page+0xac/0xc0 dma_unmap_page_attrs+0x1f4/0x5fc sun8i_ce_cipher_do_one+0x1bd4/0x1f40 crypto_pump_work+0x334/0x6e0 kthread_worker_fn+0x21c/0x438 kthread+0x374/0x664 ret_from_fork+0x10/0x20 ---[ fin del rastreo 000000000000000 ]--- Para solucionar esto, verifique !dma_mapping_error() antes de llamar dma_unmap_single() en la ruta "theend_iv".