Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net_sched: sch_sfq: rechaza un período de perturbación no válido. Gerrard Tai informó que SFQ perturb_period aún no tiene comprobación de rango, lo que puede usarse para activar una condición de ejecución corregida en un parche independiente. Queremos asegurarnos de que ctl->perturb_period * HZ no se desborde y sea positivo. tc qd add dev lo root sfq perturb -10 # valor negativo: error. Error: sch_sfq: período de perturbación no válido. tc qd add dev lo root sfq perturb 100000000 # demasiado grande: error. Error: sch_sfq: período de perturbación no válido. tc qd add dev lo root sfq perturb 2000000 # valor aceptable tc -s -d qd sh dev lo qdisc sfq 8005: root refcnt 2 limit 127p quantum 64Kb Depth 127 flows 128 divisor 1024 perturb 2000000sec Enviados 0 bytes 0 paquete (eliminados 0, sobrepasa los límites 0, vuelve a poner en cola 0) backlog 0b 0p vuelve a poner en cola 0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: platform/x86: dell_rbu: Corrección del uso de la lista. Pasar la cabecera de lista correcta a list_for_each_entry*() al recorrer la lista de paquetes. Sin esta corrección, la lectura de los datos del paquete mediante sysfs mostrará los datos incorrectamente (ya que comienzan en el paquete incorrecto), y al borrar la lista de paquetes se producirá una desreferencia de puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: jffs2: comprobar que los nodos sin procesar se hayan preasignado antes de escribir el resumen Syzkaller detectó un error del kernel en jffs2_link_node_ref, causado por la inyección de un fallo en jffs2_prealloc_raw_node_refs. jffs2_sum_write_sumnode no comprueba el valor de retorno de jffs2_prealloc_raw_node_refs y simplemente permite que cualquier error se propague a jffs2_sum_write_data, que eventualmente llama a jffs2_link_node_ref para vincular el resumen a un nodo asignado como se esperaba. ERROR de fs/jffs2/nodelist.c:592! invalid opcode: 0000 [#1] PREEMPT SMP KASAN NOPTI CPU: 1 PID: 31277 Comm: syz-executor.7 Not tainted 6.1.128-syzkaller-00139-ge10f83ca10a1 #0 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.12.0-1 04/01/2014 RIP: 0010:jffs2_link_node_ref+0x570/0x690 fs/jffs2/nodelist.c:592 Call Trace: jffs2_sum_write_data fs/jffs2/summary.c:841 [inline] jffs2_sum_write_sumnode+0xd1a/0x1da0 fs/jffs2/summary.c:874 jffs2_do_reserve_space+0xa18/0xd60 fs/jffs2/nodemgmt.c:388 jffs2_reserve_space+0x55f/0xaa0 fs/jffs2/nodemgmt.c:197 jffs2_write_inode_range+0x246/0xb50 fs/jffs2/write.c:362 jffs2_write_end+0x726/0x15d0 fs/jffs2/file.c:301 generic_perform_write+0x314/0x5d0 mm/filemap.c:3856 __generic_file_write_iter+0x2ae/0x4d0 mm/filemap.c:3973 generic_file_write_iter+0xe3/0x350 mm/filemap.c:4005 call_write_iter include/linux/fs.h:2265 [inline] do_iter_readv_writev+0x20f/0x3c0 fs/read_write.c:735 do_iter_write+0x186/0x710 fs/read_write.c:861 vfs_iter_write+0x70/0xa0 fs/read_write.c:902 iter_file_splice_write+0x73b/0xc90 fs/splice.c:685 do_splice_from fs/splice.c:763 [inline] direct_splice_actor+0x10c/0x170 fs/splice.c:950 splice_direct_to_actor+0x337/0xa10 fs/splice.c:896 do_splice_direct+0x1a9/0x280 fs/splice.c:1002 do_sendfile+0xb13/0x12c0 fs/read_write.c:1255 __do_sys_sendfile64 fs/read_write.c:1323 [inline] __se_sys_sendfile64 fs/read_write.c:1309 [inline] __x64_sys_sendfile64+0x1cf/0x210 fs/read_write.c:1309 do_syscall_x64 arch/x86/entry/common.c:51 [inline] do_syscall_64+0x35/0x80 arch/x86/entry/common.c:81 entry_SYSCALL_64_after_hwframe+0x6e/0xd8 Fix this issue by checking return value of jffs2_prealloc_raw_node_refs before calling jffs2_sum_write_data. Solucione este problema comprobando el valor de retorno de jffs2_prealloc_raw_node_refs antes de llamar a jffs2_sum_write_data. Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con Syzkaller.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: borrar el dst al cambiar el protocolo skb Un programa BPF NAT46 no tan cuidadoso puede hacer que el kernel se bloquee si cambia indiscriminadamente los paquetes de entrada de v4 a v6: ERROR: kernel NULL pointer dereference, address: 0000000000000000 ip6_rcv_core (net/ipv6/ip6_input.c:190:20) ipv6_rcv (net/ipv6/ip6_input.c:306:8) process_backlog (net/core/dev.c:6186:4) napi_poll (net/core/dev.c:6906:9) net_rx_action (net/core/dev.c:7028:13) do_softirq (kernel/softirq.c:462:3) netif_rx (net/core/dev.c:5326:3) dev_loopback_xmit (net/core/dev.c:4015:2) ip_mc_finish_output (net/ipv4/ip_output.c:363:8) NF_HOOK (./include/linux/netfilter.h:314:9) ip_mc_output (net/ipv4/ip_output.c:400:5) dst_output (./include/net/dst.h:459:9) ip_local_out (net/ipv4/ip_output.c:130:9) ip_send_skb (net/ipv4/ip_output.c:1496:8) udp_send_skb (net/ipv4/udp.c:1040:8) udp_sendmsg (net/ipv4/udp.c:1328:10) La interfaz de salida tiene un programa 4->6 conectado en la entrada. Intentamos devolver el skb de multidifusión al socket de envío. El BPF de entrada se ejecuta como parte de netif_rx(), envía un hdr v6 válido y cambia el protocolo skb a v6. Introducimos ip6_rcv_core, que intenta usar skb_dst(). Sin embargo, el dst sigue siendo IPv4 tras la salida de mcast IPv4. Borre el dst en todos los ayudantes de BPF que cambien el protocolo. Intente conservar los dst de metadatos, ya que pueden contener metadatos no relacionados con el enrutamiento.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/v3d: Evitar la desreferencia de puntero NULL en `v3d_job_update_stats()` El siguiente error del kernel fue informado recientemente por Mesa CI: [ 800.139824] Unable to handle kernel NULL pointer dereference at virtual address 0000000000000588 [ 800.148619] Mem abort info: [ 800.151402] ESR = 0x0000000096000005 [ 800.155141] EC = 0x25: DABT (current EL), IL = 32 bits [ 800.160444] SET = 0, FnV = 0 [ 800.163488] EA = 0, S1PTW = 0 [ 800.166619] FSC = 0x05: level 1 translation fault [ 800.171487] Data abort info: [ 800.174357] ISV = 0, ISS = 0x00000005, ISS2 = 0x00000000 [ 800.179832] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 800.184873] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 800.190176] user pgtable: 4k pages, 39-bit VAs, pgdp=00000001014c2000 [ 800.196607] [0000000000000588] pgd=0000000000000000, p4d=0000000000000000, pud=0000000000000000 [ 800.205305] Internal error: Oops: 0000000096000005 [#1] PREEMPT SMP [ 800.211564] Modules linked in: vc4 snd_soc_hdmi_codec drm_display_helper v3d cec gpu_sched drm_dma_helper drm_shmem_helper drm_kms_helper drm drm_panel_orientation_quirks snd_soc_core snd_compress snd_pcm_dmaengine snd_pcm i2c_brcmstb snd_timer snd backlight [ 800.234448] CPU: 0 UID: 0 PID: 0 Comm: swapper/0 Not tainted 6.12.25+rpt-rpi-v8 #1 Debian 1:6.12.25-1+rpt1 [ 800.244182] Hardware name: Raspberry Pi 4 Model B Rev 1.4 (DT) [ 800.250005] pstate: 600000c5 (nZCv daIF -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 800.256959] pc : v3d_job_update_stats+0x60/0x130 [v3d] [ 800.262112] lr : v3d_job_update_stats+0x48/0x130 [v3d] [ 800.267251] sp : ffffffc080003e60 [ 800.270555] x29: ffffffc080003e60 x28: ffffffd842784980 x27: 0224012000000000 [ 800.277687] x26: ffffffd84277f630 x25: ffffff81012fd800 x24: 0000000000000020 [ 800.284818] x23: ffffff8040238b08 x22: 0000000000000570 x21: 0000000000000158 [ 800.291948] x20: 0000000000000000 x19: ffffff8040238000 x18: 0000000000000000 [ 800.299078] x17: ffffffa8c1bd2000 x16: ffffffc080000000 x15: 0000000000000000 [ 800.306208] x14: 0000000000000000 x13: 0000000000000000 x12: 0000000000000000 [ 800.313338] x11: 0000000000000040 x10: 0000000000001a40 x9 : ffffffd83b39757c [ 800.320468] x8 : ffffffd842786420 x7 : 7fffffffffffffff x6 : 0000000000ef32b0 [ 800.327598] x5 : 00ffffffffffffff x4 : 0000000000000015 x3 : ffffffd842784980 [ 800.334728] x2 : 0000000000000004 x1 : 0000000000010002 x0 : 000000ba4c0ca382 [ 800.341859] Call trace: [ 800.344294] v3d_job_update_stats+0x60/0x130 [v3d] [ 800.349086] v3d_irq+0x124/0x2e0 [v3d] [ 800.352835] __handle_irq_event_percpu+0x58/0x218 [ 800.357539] handle_irq_event+0x54/0xb8 [ 800.361369] handle_fasteoi_irq+0xac/0x240 [ 800.365458] handle_irq_desc+0x48/0x68 [ 800.369200] generic_handle_domain_irq+0x24/0x38 [ 800.373810] gic_handle_irq+0x48/0xd8 [ 800.377464] call_on_irq_stack+0x24/0x58 [ 800.381379] do_interrupt_handler+0x88/0x98 [ 800.385554] el1_interrupt+0x34/0x68 [ 800.389123] el1h_64_irq_handler+0x18/0x28 [ 800.393211] el1h_64_irq+0x64/0x68 [ 800.396603] default_idle_call+0x3c/0x168 [ 800.400606] do_idle+0x1fc/0x230 [ 800.403827] cpu_startup_entry+0x40/0x50 [ 800.407742] rest_init+0xe4/0xf0 [ 800.410962] start_kernel+0x5e8/0x790 [ 800.414616] __primary_switched+0x80/0x90 [ 800.418622] Code: 8b170277 8b160296 11000421 b9000861 (b9401ac1) [ 800.424707] ---[fin del seguimiento 0000000000000000 ]--- [800.457313] ---[fin del pánico del kernel - no se sincroniza: Oops: Excepción fatal en la interrupción ]--- Este problema ocurre cuando el descriptor de archivo se cierra antes de que se completen los trabajos enviados por él. Al completarse el trabajo, actualizamos las estadísticas globales de la GPU y las estadísticas de la GPU por archivo de datos, que se exponen mediante fdinfo. Si el descriptor de archivo se cerró, la estructura `v3d_file_priv` y sus estadísticas ya se liberaron, por lo que no podemos actualizar las estadísticas por archivo de datos. Por lo tanto, si el descriptor de archivo ya se cerró, no se debe usar `--truncated---`.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/msm/a7xx: Llamada a CP_RESET_CONTEXT_STATE. Llamar a este paquete es necesario al cambiar de contexto, ya que el espacio de usuario utiliza varios fragmentos de estado para sincronizar entre BR y BV que son persistentes entre envíos, y debemos asegurarnos de que estén en un estado seguro al cambiar de contexto. De lo contrario, un envío del espacio de usuario en un contexto podría provocar que otro contexto funcione incorrectamente y se cuelgue, lo que constituye una denegación de servicio (aunque sin fugas de datos). Esto se pasó por alto durante la activación inicial de a7xx. Patchwork: https://patchwork.freedesktop.org/patch/654924/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/nouveau: se corrige un error de use-after-free en r535_gsp_rpc_push(). El contenedor RPC se libera tras pasarse a r535_gsp_rpc_send(). Al enviar el fragmento inicial de una RPC grande y pasar el contenedor RPC del emisor, este se liberará prematuramente. Por lo tanto, los intentos posteriores de enviar los fragmentos restantes resultarán en un error de use-after-free. Asigne un contenedor RPC temporal para almacenar el fragmento inicial de una RPC grande durante el envío. Libere el contenedor del emisor cuando todos los fragmentos se hayan enviado correctamente. [Rebase sobre los cambios de Blackwell. - Danilo]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bnxt_en: Se corrige la doble invocación de bnxt_ulp_stop()/bnxt_ulp_start(). Antes de la confirmación bajo la etiqueta "Correcciones", bnxt_ulp_stop() y bnxt_ulp_start() siempre se invocaban en pares. Tras dicha confirmación, se puede invocar el nuevo bnxt_ulp_restart() tras llamar a bnxt_ulp_stop(). Esto puede provocar que el método .suspend() del controlador auxiliar del controlador RoCE se invoque dos veces. La segunda llamada bnxt_re_suspend() se bloqueará cuando desreferencia un puntero NULL: (NULL ib_device): Manejar llamada de suspensión del dispositivo ERROR: kernel NULL pointer dereference, address: 0000000000000b78 PGD 0 P4D 0 Oops: Oops: 0000 [#1] SMP PTI CPU: 20 UID: 0 PID: 181 Comm: kworker/u96:5 Tainted: G S 6.15.0-rc1 #4 PREEMPT(voluntary) Tainted: [S]=CPU_OUT_OF_SPEC Hardware name: Dell Inc. PowerEdge R730/072T6D, BIOS 2.4.3 01/17/2017 Workqueue: bnxt_pf_wq bnxt_sp_task [bnxt_en] RIP: 0010:bnxt_re_suspend+0x45/0x1f0 [bnxt_re] Code: 8b 05 a7 3c 5b f5 48 89 44 24 18 31 c0 49 8b 5c 24 08 4d 8b 2c 24 e8 ea 06 0a f4 48 c7 c6 04 60 52 c0 48 89 df e8 1b ce f9 ff <48> 8b 83 78 0b 00 00 48 8b 80 38 03 00 00 a8 40 0f 85 b5 00 00 00 RSP: 0018:ffffa2e84084fd88 EFLAGS: 00010246 RAX: 0000000000000000 RBX: 0000000000000000 RCX: 0000000000000001 RDX: 0000000000000000 RSI: ffffffffb4b6b934 RDI: 00000000ffffffff RBP: ffffa1760954c9c0 R08: 0000000000000000 R09: c0000000ffffdfff R10: 0000000000000001 R11: ffffa2e84084fb50 R12: ffffa176031ef070 R13: ffffa17609775000 R14: ffffa17603adc180 R15: 0000000000000000 FS: 0000000000000000(0000) GS:ffffa17daa397000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000000b78 CR3: 00000004aaa30003 CR4: 00000000003706f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: bnxt_ulp_stop+0x69/0x90 [bnxt_en] bnxt_sp_task+0x678/0x920 [bnxt_en] ? __schedule+0x514/0xf50 process_scheduled_works+0x9d/0x400 worker_thread+0x11c/0x260 ? __pfx_worker_thread+0x10/0x10 kthread+0xfe/0x1e0 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x2b/0x40 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 Compruebe el indicador BNXT_EN_FLAG_ULP_STOPPED y no continúe si ya está activado. Esto conservará las operaciones simétricas originales bnxt_ulp_stop() y bnxt_ulp_start(). Además, dentro de bnxt_ulp_start(), borre el indicador BNXT_EN_FLAG_ULP_STOPPED después de tomar el mutex para evitar cualquier condición de ejecución. Y para la simetría, solo proceda en bnxt_ulp_start() si BNXT_EN_FLAG_ULP_STOPPED está configurado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: lan743x: corrección de una posible escritura fuera de los límites en lan743x_ptp_io_event_clock_get(). Antes de llamar a lan743x_ptp_io_event_clock_get(), el valor del canal se compara con el valor máximo de PCI11X1X_PTP_IO_MAX_CHANNELS(8). Esto parece correcto y se ajusta a las especificaciones del registro de estado de interrupción PTP (PTP_INT_STS). Sin embargo, lan743x_ptp_io_event_clock_get() escribe en ptp->extts[] solo con elementos LAN743X_PTP_N_EXTTS(4), usando el canal como índice: lan743x_ptp_io_event_clock_get(..., u8 channel,...) { ... /* Actualizar marca de tiempo local */ extts = &ptp->extts[channel]; extts->ts.tv_sec = sec; ... } Para evitar una escritura fuera de los límites y utilizar todas las entradas GPIO compatibles, configure LAN743X_PTP_N_EXTTS en 8. Detectado usando la herramienta de análisis estático - Svace.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tipc: corregir null-ptr-deref al adquirir la IP remota del portador Ethernet Pasos de reproducción: 1. crear una interfaz tun 2. habilitar el portador l2 3. TIPC_NL_UDP_GET_REMOTEIP con el nombre del medio establecido en tun tipc: iniciado en modo de red tipc: identidad del nodo 8af312d38a21, identidad del clúster 4711 tipc: portador habilitado , prioridad 1 Oops: error de protección general KASAN: null-ptr-deref en el rango CPU: 1 UID: 1000 PID: 559 Comm: poc No contaminado 6.16.0-rc1+ #117 PREEMPT Nombre del hardware: QEMU Ubuntu 24.04 PC RIP: 0010:tipc_udp_nl_dump_remoteip+0x4a4/0x8f0 el ub era de hecho un struct dev. cuando bid != 0 y skip_cnt != 0, bearer_list[bid] puede ser NULL u otro medio cuando otro hilo lo cambia. solucione esto comprobando media_id.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: atm: atmtcp: Free invalid length skb in atmtcp_c_send(). syzbot reportó el splat a continuación. [0] vcc_sendmsg() copia los datos pasados del espacio de usuario a skb y los pasa a vcc->dev->ops->send(). atmtcp_c_send() accede a skb->data como struct atmtcp_hdr después de verificar si skb->len es 0, pero no es suficiente. Además, cuando skb->len == 0, skb y sk (vcc) se filtraron porque no se llama a dev_kfree_skb() y falta el ajuste sk_wmem_alloc para revertir atm_account_tx() en vcc_sendmsg(), lo que se espera que se haga en atm_pop_raw(). Liberemos adecuadamente skb con una longitud no válida en atmtcp_c_send(). [0]: ERROR: KMSAN: uninit-value in atmtcp_c_send+0x255/0xed0 drivers/atm/atmtcp.c:294 atmtcp_c_send+0x255/0xed0 drivers/atm/atmtcp.c:294 vcc_sendmsg+0xd7c/0xff0 net/atm/common.c:644 sock_sendmsg_nosec net/socket.c:712 [inline] __sock_sendmsg+0x330/0x3d0 net/socket.c:727 ____sys_sendmsg+0x7e0/0xd80 net/socket.c:2566 ___sys_sendmsg+0x271/0x3b0 net/socket.c:2620 __sys_sendmsg net/socket.c:2652 [inline] __do_sys_sendmsg net/socket.c:2657 [inline] __se_sys_sendmsg net/socket.c:2655 [inline] __x64_sys_sendmsg+0x211/0x3e0 net/socket.c:2655 x64_sys_call+0x32fb/0x3db0 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline] do_syscall_64+0xd9/0x210 arch/x86/entry/syscall_64.c:94 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit was created at: slab_post_alloc_hook mm/slub.c:4154 [inline] slab_alloc_node mm/slub.c:4197 [inline] kmem_cache_alloc_node_noprof+0x818/0xf00 mm/slub.c:4249 kmalloc_reserve+0x13c/0x4b0 net/core/skbuff.c:579 __alloc_skb+0x347/0x7d0 net/core/skbuff.c:670 alloc_skb include/linux/skbuff.h:1336 [inline] vcc_sendmsg+0xb40/0xff0 net/atm/common.c:628 sock_sendmsg_nosec net/socket.c:712 [inline] __sock_sendmsg+0x330/0x3d0 net/socket.c:727 ____sys_sendmsg+0x7e0/0xd80 net/socket.c:2566 ___sys_sendmsg+0x271/0x3b0 net/socket.c:2620 __sys_sendmsg net/socket.c:2652 [inline] __do_sys_sendmsg net/socket.c:2657 [inline] __se_sys_sendmsg net/socket.c:2655 [inline] __x64_sys_sendmsg+0x211/0x3e0 net/socket.c:2655 x64_sys_call+0x32fb/0x3db0 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline] do_syscall_64+0xd9/0x210 arch/x86/entry/syscall_64.c:94 entry_SYSCALL_64_after_hwframe+0x77/0x7f CPU: 1 UID: 0 PID: 5798 Comm: syz-executor192 Not tainted 6.16.0-rc1-syzkaller-00010-g2c4a1f3fe03e #0 PREEMPT(undef) Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 05/07/2025

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: EDAC/igen6: Corregir desreferencia de puntero NULL Se informó un pánico del kernel con el siguiente registro del kernel: EDAC igen6: Se esperaban 2 mcs, pero solo se detectó 1. ERROR: no se pudo gestionar el error de página para la dirección: 000000000000d570 ... Nombre del hardware: Notebook V54x_6x_TU/V54x_6x_TU, BIOS Dasharo (coreboot+UEFI) v0.9.0 17/07/2024 RIP: e030:ecclog_handler+0x7e/0xf0 [igen6_edac] ... igen6_probe+0x2a0/0x343 [igen6_edac] ... igen6_init+0xc5/0xff0 [igen6_edac] ... Este problema se produjo porque el BIOS deshabilitó un controlador de memoria, pero el controlador igen6_edac siguió comprobando todos los controladores de memoria, incluido el ausente, para identificar el origen del error. Acceder al MMIO nulo del controlador de memoria ausente provocó el error mencionado. Solucione este problema revirtiendo la estructura de configuración a no constante y actualizando el campo 'res_cfg->num_imc' para reflejar la cantidad de controladores de memoria detectados.