Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: atm: Liberar atm_dev_mutex después de eliminar procfs en atm_dev_deregister(). syzbot reportó una advertencia a continuación durante atm_dev_register(). [0] Antes de crear un nuevo dispositivo y procfs/sysfs para él, atm_dev_register() busca un dispositivo duplicado por __atm_dev_lookup(). Estas operaciones se realizan bajo atm_dev_mutex. Sin embargo, al eliminar un dispositivo en atm_dev_deregister(), libera el mutex justo después de eliminar el dispositivo de la lista que __atm_dev_lookup() itera. Por lo tanto, habrá una pequeña ventana de ejecución donde el dispositivo no existe en la lista de dispositivos pero los procfs/sysfs aún no se eliminan, lo que activa el splat. Mantengamos el mutex hasta que se eliminen procfs/sysfs en atm_dev_deregister(). [0]: proc_dir_entry 'atm/atmtcp:0' ya está registrado ADVERTENCIA: CPU: 0 PID: 5919 at fs/proc/generic.c:377 proc_register+0x455/0x5f0 fs/proc/generic.c:377 Modules linked in: CPU: 0 UID: 0 PID: 5919 Comm: syz-executor284 Not tainted 6.16.0-rc2-syzkaller-00047-g52da431bf03b #0 PREEMPT(full) Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 05/07/2025 RIP: 0010:proc_register+0x455/0x5f0 fs/proc/generic.c:377 Code: 48 89 f9 48 c1 e9 03 80 3c 01 00 0f 85 a2 01 00 00 48 8b 44 24 10 48 c7 c7 20 c0 c2 8b 48 8b b0 d8 00 00 00 e8 0c 02 1c ff 90 <0f> 0b 90 90 48 c7 c7 80 f2 82 8e e8 0b de 23 09 48 8b 4c 24 28 48 RSP: 0018:ffffc9000466fa30 EFLAGS: 00010282 RAX: 0000000000000000 RBX: 0000000000000000 RCX: ffffffff817ae248 RDX: ffff888026280000 RSI: ffffffff817ae255 RDI: 0000000000000001 RBP: ffff8880232bed48 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000001 R12: ffff888076ed2140 R13: dffffc0000000000 R14: ffff888078a61340 R15: ffffed100edda444 FS: 00007f38b3b0c6c0(0000) GS:ffff888124753000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f38b3bdf953 CR3: 0000000076d58000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: proc_create_data+0xbe/0x110 fs/proc/generic.c:585 atm_proc_dev_register+0x112/0x1e0 net/atm/proc.c:361 atm_dev_register+0x46d/0x890 net/atm/resources.c:113 atmtcp_create+0x77/0x210 drivers/atm/atmtcp.c:369 atmtcp_attach drivers/atm/atmtcp.c:403 [inline] atmtcp_ioctl+0x2f9/0xd60 drivers/atm/atmtcp.c:464 do_vcc_ioctl+0x12c/0x930 net/atm/ioctl.c:159 sock_do_ioctl+0x115/0x280 net/socket.c:1190 sock_ioctl+0x227/0x6b0 net/socket.c:1311 vfs_ioctl fs/ioctl.c:51 [inline] __do_sys_ioctl fs/ioctl.c:907 [inline] __se_sys_ioctl fs/ioctl.c:893 [inline] __x64_sys_ioctl+0x18b/0x210 fs/ioctl.c:893 do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline] do_syscall_64+0xcd/0x4c0 arch/x86/entry/syscall_64.c:94 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f38b3b74459 Code: 28 00 00 00 75 05 48 83 c4 28 c3 e8 51 18 00 00 90 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 b0 ff ff ff f7 d8 64 89 01 48 RSP: 002b:00007f38b3b0c198 EFLAGS: 00000246 ORIG_RAX: 0000000000000010 RAX: ffffffffffffffda RBX: 00007f38b3bfe318 RCX: 00007f38b3b74459 RDX: 0000000000000000 RSI: 0000000000006180 RDI: 0000000000000005 RBP: 00007f38b3bfe310 R08: 65732f636f72702f R09: 65732f636f72702f R10: 65732f636f72702f R11: 0000000000000246 R12: 00007f38b3bcb0ac R13: 00007f38b3b0c1a0 R14: 0000200000000200 R15: 00007f38b3bcb03b

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bridge: mcast: Arreglar el use-after-free durante la configuración del puerto del enrutador El puente mantiene una lista global de puertos tras los cuales reside un enrutador de multidifusión. La lista se consulta durante el reenvío para garantizar que los paquetes de multidifusión se reenvíen a estos puertos incluso si los puertos no son miembros de la entrada MDB correspondiente. Cuando se habilita la vigilancia de multidifusión por VLAN, se deshabilita el contexto de multidifusión por puerto en cada puerto y el puerto se elimina de la lista global de puertos del enrutador: # ip link add name br1 up type bridge vlan_filtering 1 mcast_snooping 1 # ip link add name dummy1 up master br1 type dummy # ip link set dev dummy1 type bridge_slave mcast_router 2 $ bridge -d mdb show | grep router router ports on br1: dummy1 # ip link set dev br1 type bridge mcast_vlan_snooping 1 $ bridge -d mdb show | grep router Sin embargo, el puerto se puede volver a agregar a la lista global incluso cuando el snooping de multidifusión por VLAN está habilitado: # ip link set dev dummy1 type bridge_slave mcast_router 0 # ip link set dev dummy1 type bridge_slave mcast_router 2 $ bridge -d mdb show | grep router router ports on br1: dummy1 Desde el commit 4b30ae9adb04 ("net: bridge: mcast: re-implement br_multicast_{enable, disabled}_port functions"), cuando el snooping de multidifusión por VLAN está habilitado, la deshabilitación de multidifusión en un puerto deshabilitará los contextos de multidifusión por {puerto, VLAN} y no el de cada puerto. Como resultado, un puerto permanecerá en la lista global de puertos del enrutador incluso después de eliminarlo. Esto generará un use-after-free [1] cuando se recorra la lista (al agregar un nuevo puerto a la lista, por ejemplo): # ip link del dev dummy1 # ip link add name dummy2 up master br1 type dummy # ip link set dev dummy2 type bridge_slave mcast_router 2 De manera similar, también se pueden encontrar entradas obsoletas en la lista de puertos del enrutador por VLAN. Cuando la vigilancia de multidifusión por VLAN está deshabilitada, los contextos por {puerto, VLAN} se deshabilitan en cada puerto y el puerto se elimina de la lista de puertos del enrutador por VLAN: # ip link add name br1 up type bridge vlan_filtering 1 mcast_snooping 1 mcast_vlan_snooping 1 # ip link add name dummy1 up master br1 type dummy # bridge vlan add vid 2 dev dummy1 # bridge vlan global set vid 2 dev br1 mcast_snooping 1 # bridge vlan set vid 2 dev dummy1 mcast_router 2 $ bridge vlan global show dev br1 vid 2 | grep router router ports: dummy1 # ip link set dev br1 type bridge mcast_vlan_snooping 0 $ bridge vlan global show dev br1 vid 2 | grep router Sin embargo, el puerto se puede volver a agregar a la lista por VLAN incluso cuando el snooping de multidifusión por VLAN está deshabilitado: # bridge vlan set vid 2 dev dummy1 mcast_router 0 # bridge vlan set vid 2 dev dummy1 mcast_router 2 $ bridge vlan global show dev br1 vid 2 | grep router router ports: dummy1 Cuando se elimina la VLAN del puerto, el contexto de multidifusión por {puerto, VLAN} no se deshabilitará ya que el snooping de multidifusión no está habilitado en la VLAN. Como resultado, el puerto permanecerá en la lista de puertos del enrutador por VLAN incluso después de que ya no sea miembro de la VLAN. Esto dará lugar a un use-after-free [2] cuando se recorra la lista (al añadir un nuevo puerto a la lista, por ejemplo): # ip link add name dummy2 up master br1 type dummy # bridge vlan add vid 2 dev dummy2 # bridge vlan del vid 2 dev dummy1 # bridge vlan set vid 2 dev dummy2 mcast_router 2 Solucione estos problemas eliminando el puerto de la lista de puertos del enrutador relevante (global o por VLAN) en br_multicast_port_ctx_deinit(). La función se invoca durante la eliminación del puerto con el contexto de multidifusión por puerto y durante la eliminación de VLAN con el contexto de multidifusión por {puerto, VLAN}. ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: fnic: Se corrige el fallo en fnic_wq_cmpl_handler cuando se agota el tiempo de espera de FDMI. Cuando se agota el tiempo de espera de las solicitudes FDMI de RHBA y RPA, fnic reutiliza una trama para enviar ABTS para cada una de ellas. Al completarse el envío, esto provoca un intento de liberar la misma trama dos veces, lo que provoca un fallo. Se corrige el fallo asignando tramas separadas para RHBA y RPA y modificando la lógica de ABTS según corresponda. Se probó verificando MDS para obtener información de FDMI. Se probó utilizando un controlador instrumentado para: - Descartar la respuesta PLOGI - Descartar la respuesta RHBA - Descartar la respuesta RPA - Descartar la respuesta RHBA y RPA - Descartar la respuesta PLOGI + respuesta ABTS - Descartar la respuesta RHBA + respuesta ABTS - Descartar la respuesta RPA + respuesta ABTS - Descartar la respuesta RHBA y RPA + respuesta ABTS para ambas.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: megaraid_sas: Se corrige un índice de nodo no válido. En un sistema con intercalación de DRAM habilitada, se detecta acceso fuera de los límites: megaraid_sas 0000:3f:00.0: solicitado/disponible msix 128/128 poll_queue 0 ------------[ cut here ]------------ UBSAN: array-index-out-of-bounds in ./arch/x86/include/asm/topology.h:72:28 index -1 is out of range for type 'cpumask *[1024]' dump_stack_lvl+0x5d/0x80 ubsan_epilogue+0x5/0x2b __ubsan_handle_out_of_bounds.cold+0x46/0x4b megasas_alloc_irq_vectors+0x149/0x190 [megaraid_sas] megasas_probe_one.cold+0xa4d/0x189c [megaraid_sas] local_pci_probe+0x42/0x90 pci_device_probe+0xdc/0x290 really_probe+0xdb/0x340 __driver_probe_device+0x78/0x110 driver_probe_device+0x1f/0xa0 __driver_attach+0xba/0x1c0 bus_for_each_dev+0x8b/0xe0 bus_add_driver+0x142/0x220 driver_register+0x72/0xd0 megasas_init+0xdf/0xff0 [megaraid_sas] do_one_initcall+0x57/0x310 do_init_module+0x90/0x250 init_module_from_file+0x85/0xc0 idempotent_init_module+0x114/0x310 __x64_sys_finit_module+0x65/0xc0 do_syscall_64+0x82/0x170 entry_SYSCALL_64_after_hwframe+0x76/0x7e Corríjalo como corresponda.

La distribución de Linux subyacente a Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20) está obsoleta y alcanzó el final de su vida útil (EOL) el 30 de junio de 2024. Por lo tanto, cualquier vulnerabilidad no mitigada podría explotarse para afectar a este producto.

Un usuario no autenticado con acceso a la red de administración puede obtener y modificar la configuración de Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20). El dispositivo cuenta con dos servidores web que exponen API REST no autenticadas en la red de administración (puertos TCP 8084 y 8086). Un atacante puede usar estas API para acceder a toda la configuración del sistema, modificar la configuración y ejecutar algunos comandos (p. ej., reiniciar el sistema).

El dispositivo cuenta con dos servidores web que exponen API REST no autenticadas en la red de administración (puertos TCP 8084 y 8086). Al aprovechar la inyección de comandos del sistema operativo a través de estas API, un atacante puede enviar comandos arbitrarios que el sistema operativo subyacente ejecuta con permisos administrativos.

Una vulnerabilidad de evasión de seguridad permite su explotación mediante el robo de pestañas inverso, un tipo de ataque de phishing en el que los atacantes pueden manipular el contenido de la pestaña original, lo que provoca el robo de credenciales y otros riesgos de seguridad. Este problema afecta a DataSync Center desde la versión 1.1.0 hasta la 1.1.0.r207 y desde la versión 1.2.0 hasta la 1.2.0.r206.

Un usuario con credenciales de usuario virtual que abre una conexión SSH al dispositivo obtiene un shell rbash restringido que solo permite una pequeña lista de comandos permitidos. Esta vulnerabilidad permite al usuario obtener un shell Linux completo, eludiendo las restricciones de rbash.

El usuario sin privilegios de Linux vpuser en Radiflow iSAP Smart Collector (CentOS 7 - VSAP 1.20) puede leer todo el contenido del sistema de archivos, incluidos los archivos que pertenecen a otros usuarios y que tienen acceso restringido (como, por ejemplo, el hash de la contraseña root).

Una vulnerabilidad de validación de entrada incorrecta permite inyectar valores arbitrarios del archivo de configuración del NAS en ASUSTOR ADM. Esto podría provocar una configuración incorrecta del sistema y alterar el formato del archivo de configuración, provocando un comportamiento inesperado del NAS. Este problema afecta a ADM desde la versión 4.1 hasta la 4.3.1.R5A1.

Se encontró una vulnerabilidad en Campcodes Payroll Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /ajax.php?action=save_deductions. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.