Vulnerabilidades

En el núcleo de Linux, se ha resuelto la siguiente vulnerabilidad: mmc: core: use sysfs_emit() en lugar de sprintf() sprintf() (que todavía se usa en el núcleo de MMC para la salida de sysfs) es vulnerable al desbordamiento del búfer. Use el nuevo sysfs_emit() en su lugar. Encontrado por Linux Verification Center (linuxtesting.org) con la herramienta de análisis estático SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: codecs: va-macro: se corrige el acceso a una matriz fuera de los límites para el tipo de enumeración. Acceder a enumeraciones usando números enteros daría como resultado un acceso a una matriz fuera de los límites en plataformas como aarch64, donde sizeof(long) es 8 en comparación con el tamaño de la enumeración, que es de 4 bytes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: codecs: rx-macro: se corrige el acceso a una matriz fuera de los límites para el tipo de enumeración. Acceder a enumeraciones usando números enteros daría como resultado un acceso a una matriz fuera de los límites en plataformas como aarch64, donde sizeof(long) es 8 en comparación con el tamaño de la enumeración, que es de 4 bytes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: usb: go7007: s2250-board: corrección de fuga en probe() Llamada a i2c_unregister_device(audio) en esta ruta de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: ti-vpe: cal: Se corrige una desreferencia de puntero NULL en cal_ctx_v4l2_init_formats() En cal_ctx_v4l2_init_formats(), devm_kzalloc() se asigna a ctx->active_fmt y hay una desreferencia de este después de eso, lo que podría provocar una desreferencia de puntero NULL en caso de fallo de devm_kzalloc(). Corrija este error agregando una comprobación NULL de ctx->active_fmt. Este error fue encontrado por un analizador estático. Las compilaciones con 'make allyesconfig' no muestran nuevas advertencias y nuestro analizador estático ya no advierte sobre este código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: f2fs: corrige el nid libre faltante en f2fs_handle_failed_inode Este parche corrige el error xfstests/generic/475. [ 293.680694] F2FS-fs (dm-1): puede perder un inodo huérfano, ejecute fsck para corregirlo. [ 293.685358] Error de E/S de búfer en dev dm-1, bloque lógico 8388592, lectura de página asíncrona [ 293.691527] Error de E/S de búfer en dev dm-1, bloque lógico 8388592, lectura de página asíncrona [ 293.691764] sh (7615): drop_caches: 3 [ 293.691819] sh (7616): drop_caches: 3 [ 293.694017] Error de E/S de búfer en dev dm-1, bloque lógico 1, lectura de página asíncrona [ 293.695659] sh (7618): drop_caches: 3 [ 293.696979] sh (7617): drop_caches: 3 [ 293.700290] sh (7623): eliminar_cachés: 3 [ 293.708621] sh (7626): eliminar_cachés: 3 [ 293.711386] sh (7628): eliminar_cachés: 3 [ 293.711825] sh (7627): eliminar_cachés: 3 [ 293.716738] sh (7630): eliminar_cachés: 3 [ 293.719613] sh (7632): eliminar_cachés: 3 [ 293.720971] sh (7633): eliminar_cachés: 3 [ 293.727741] sh (7634): eliminar_cachés: 3 [ 293.730783] sh (7636): drop_caches: 3 [ 293.732681] sh (7635): drop_caches: 3 [ 293.732988] sh (7637): drop_caches: 3 [ 293.738836] sh (7639): drop_caches: 3 [ 293.740568] sh (7641): drop_caches: 3 [ 293.743053] sh (7640): drop_caches: 3 [ 293.821889] ------------[ cortar aquí ]------------ [ 293.824654] ¡ERROR del núcleo en fs/f2fs/node.c:3334! [ 293.826226] Código de operación no válido: 0000 [#1] PREEMPT SMP PTI [ 293.828713] CPU: 0 PID: 7653 Comm: umount Contaminado: G OE 5.17.0-rc1-custom #1 [ 293.830946] Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 04/01/2014 [ 293.832526] RIP: 0010:f2fs_destroy_node_manager+0x33f/0x350 [f2fs] [ 293.833905] Código: e8 d6 3d f9 f9 48 8b 45 d0 65 48 2b 04 25 28 00 00 00 75 1a 48 81 c4 28 03 00 00 5b 41 5c 41 5d 41 5e 41 5f 5d c3 0f 0b [ 293.837783] RSP: 0018:ffffb04ec31e7a20 EFLAGS: 00010202 [ 293.839062] RAX: 000000000000001 RBX: ffff9df947db2eb8 RCX: 0000000080aa0072 [ 293.840666] RDX: 000000000000000 RSI: ffffe86c0432a140 RDI: ffffffffc0b72a21 [ 293.842261] RBP: ffffb04ec31e7d70 R08: ffff9df94ca85780 R09: 0000000080aa0072 [ 293.843909] R10: ffff9df94ca85700 R11: ffff9df94e1ccf58 R12: ffff9df947db2e00 [ 293.845594] R13: ffff9df947db2ed0 R14: ffff9df947db2eb8 R15: ffff9df947db2eb8 [ 293.847855] FS: 00007f5a97379800(0000) GS:ffff9dfa77c00000(0000) knlGS:00000000000000000 [ 293.850647] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 293.852940] CR2: 00007f5a97528730 CR3: 000000010bc76005 CR4: 0000000000370ef0 [ 293.854680] DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 293.856423] DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 [ 293.858380] Rastreo de llamadas: [ 293.859302] [ 293.860311] ? ttwu_do_wakeup+0x1c/0x170 [ 293.861800] ? ttwu_do_activate+0x6d/0xb0 [ 293.863057] ? _raw_spin_unlock_irqrestore+0x29/0x40 [ 293.864411] ? try_to_wake_up+0x9d/0x5e0 [ 293.865618] ? debug_smp_processor_id+0x17/0x20 [ 293.866934] ? debug_smp_processor_id+0x17/0x20 [ 293.868223] ? free_unref_page+0xbf/0x120 [ 293.869470] ? __free_slab+0xcb/0x1c0 [ 293.870614] ? preempt_count_add+0x7a/0xc0 [ 293.871811] ? __slab_free+0xa0/0x2d0 [ 293.872918] ? __wake_up_common_lock+0x8a/0xc0 [ 293.874186] ? __slab_free+0xa0/0x2d0 [ 293.875305] ? free_inode_nonrcu+0x20/0x20 [ 293.876466] ? free_inode_nonrcu+0x20/0x20 [ 293.877650] ? debug_smp_processor_id+0x17/0x20 [ 293.878949] ? call_rcu+0x11a/0x240 [ 293.880060] ? f2fs_destroy_stats+0x59/0x60 [f2fs] [ 293.881437] ? kfree+0x1fe/0x230 [ 293.882674] f2fs_put_super+0x160/0x390 [f2fs] [ 293.883978] generic_shutdown_super+0x7a/0x120 [ 293.885274] kill_block_super+0x27/0x50 [ 293.886496] kill_f2fs_super+0x7f/0x100 [f2fs] [ 293.887806] deactivate_locked_super+0x35/0xa0 [ 293.889271] deactivate_super+0x40/0x50 [ 293.890513] cleanup_mnt+0x139/0x190 [ 293.891689] __cleanup_mnt+0x12/0x20 [ 293.892850] task_work_run+0x64/0xa0 [ 293.894035] exit_to_user_mode_prepare+0x1b7 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: watch_queue: En realidad, libera el reloj. free_watch() hace todo lo posible, excepto liberar realmente el objeto de vigilancia. Solucione esto agregando el kfree faltante. kmemleak produce un informe similar al siguiente. Tenga en cuenta que, como se puede ver una dirección en la primera palabra, el reloj parecería haber pasado por call_rcu(). ERROR: pérdida de memoria objeto no referenciado 0xffff88810ce4a200 (tamaño 96): comm "syz-executor352", pid 3605, jiffies 4294947473 (edad 13.720s) volcado hexadecimal (primeros 32 bytes): e0 82 48 0d 81 88 ff ff 00 00 00 00 00 00 00 00 ..H............. 80 a2 e4 0c 81 88 ff ff 00 00 00 00 00 00 00 00 ................ backtrace: [] kmalloc include/linux/slab.h:581 [inline] [] kzalloc include/linux/slab.h:714 [inline] [] keyctl_watch_key+0xec/0x2e0 security/keys/keyctl.c:1800 [] __do_sys_keyctl+0x3c4/0x490 security/keys/keyctl.c:2016 [] do_syscall_x64 arch/x86/entry/common.c:50 [inline] [] do_syscall_64+0x35/0xb0 arch/x86/entry/common.c:80 [] entry_SYSCALL_64_after_hwframe+0x44/0xae

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: watch_queue: Se corrige la desreferencia NULL en la limpieza de errores En watch_queue_set_size(), el código de limpieza de errores no tiene en cuenta el hecho de que __free_page() no puede manejar un puntero NULL al intentar liberar páginas de búfer que sí se asignaron. Solucione esto llamando a __free_page() solo en las páginas realmente asignadas. Sin la corrección, esto puede llevar a algo como lo siguiente: ERROR: KASAN: null-ptr-deref en __free_pages+0x1f/0x1b0 mm/page_alloc.c:5473 Lectura de tamaño 4 en la dirección 0000000000000034 por la tarea syz-executor168/3599 ... Seguimiento de llamadas: __dump_stack lib/dump_stack.c:88 [en línea] dump_stack_lvl+0xcd/0x134 lib/dump_stack.c:106 __kasan_report mm/kasan/report.c:446 [en línea] kasan_report.cold+0x66/0xdf mm/kasan/report.c:459 check_region_inline mm/kasan/generic.c:183 [en línea] kasan_check_range+0x13d/0x180 mm/kasan/generic.c:189 instrument_atomic_read include/linux/instrumented.h:71 [en línea] atomic_read include/linux/atomic/atomic-instrumented.h:27 [en línea] page_ref_count include/linux/page_ref.h:67 [en línea] put_page_testzero include/linux/mm.h:717 [en línea] __free_pages+0x1f/0x1b0 mm/page_alloc.c:5473 watch_queue_set_size+0x499/0x630 kernel/watch_queue.c:275 pipe_ioctl+0xac/0x2b0 fs/pipe.c:632 vfs_ioctl fs/ioctl.c:51 [en línea] __do_sys_ioctl fs/ioctl.c:874 [en línea] __se_sys_ioctl fs/ioctl.c:860 [en línea] __x64_sys_ioctl+0x193/0x200 fs/ioctl.c:860 do_syscall_x64 arch/x86/entry/common.c:50 [en línea] do_syscall_64+0x35/0xb0 arch/x86/entry/common.c:80 entry_SYSCALL_64_after_hwframe+0x44/0xae

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: ccree - Se corrige el uso después de liberación en cc_cipher_exit() kfree_sensitive(ctx_p-&amp;amp;gtuser.key) liberará ctx_p-&amp;amp;gtuser.key. Pero ctx_p-&amp;amp;gtuser.key aún se usa en la siguiente línea, lo que provocará un uso después de liberación. Podemos llamar a kfree_sensitive() después de dev_dbg() para evitar el uaf.<br />

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bloquo: no eliminar la cola kobject antes de que sus kobjects hijos no se eliminen antes de que se eliminen sus kobjects hijos. Aparentemente, esto suele ser benigno; Sin embargo, se activará una ADVERTENCIA si uno de los kobjects secundarios tiene un grupo de atributos con nombre: sysfs group &amp;#39;modes&amp;#39; not found for kobject &amp;#39;crypto&amp;#39; ADVERTENCIA: CPU: 0 PID: 1 en fs/sysfs/group.c:278 sysfs_remove_group+0x72/0x80 ... Seguimiento de llamadas: sysfs_remove_groups+0x29/0x40 fs/sysfs/group.c:312 __kobject_del+0x20/0x80 lib/kobject.c:611 kobject_cleanup+0xa4/0x140 lib/kobject.c:696 kobject_release lib/kobject.c:736 [en línea] kref_put include/linux/kref.h:65 [en línea] kobject_put+0x53/0x70 lib/kobject.c:753 blk_crypto_sysfs_unregister+0x10/0x20 block/blk-crypto-sysfs.c:159 blk_unregister_queue+0xb0/0x110 block/blk-sysfs.c:962 del_gendisk+0x117/0x250 block/genhd.c:610 Solucione esto moviendo kobject_del() y el kobject_uevent() correspondiente al lugar correcto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: hisilicon/sec - corrige el error de respaldo del software aead para el motor. Debido al mal uso del puntero subreq de la memoria de contexto privada, el cifrado suave aead a veces provoca un pánico del sistema operativo al configurar la página de 64K. Aquí se soluciona.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: atmel: Se corrige la gestión de errores en sam9x5_wm8731_driver_probe El puntero device_node es devuelto por of_parse_phandle() con refcount incrementado. Deberíamos usar of_node_put() en él cuando haya terminado. Esta función solo llama a of_node_put() en la ruta regular. Y provocará una fuga de refcount en la ruta de error.