Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: mediatek: Se corrige la gestión de errores en mt8183_da7219_max98357_dev_probe El puntero device_node es devuelto por of_parse_phandle() con refcount incrementado. Deberíamos usar of_node_put() en él cuando haya terminado. Esta función solo llama a of_node_put() en la ruta regular. Y provocará una fuga de refcount en las rutas de error. Corrija esto llamando también a of_node_put() en la gestión de errores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: video: fbdev: sm712fb: Se corrige el fallo en smtcfb_write() Cuando el controlador sm712fb escribe tres bytes en el framebuffer, el controlador se bloqueará: ERROR: no se puede manejar el error de página para la dirección: ffffc90001ffffff RIP: 0010:smtcfb_write+0x454/0x5b0 Rastreo de llamadas: vfs_write+0x291/0xd60 ? do_sys_openat2+0x27d/0x350 ? __fget_light+0x54/0x340 ksys_write+0xce/0x190 do_syscall_64+0x43/0x90 entry_SYSCALL_64_after_hwframe+0x44/0xae Solucione el problema eliminando el código de corrección de endianness de código abierto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: imx-jpeg: corrige un error de acceso a la matriz fuera de los límites Cuando ocurre un error al analizar jpeg, la ranura aún no se adquiere, puede ser el valor predeterminado MXC_MAX_SLOTS. Si el controlador accede a la ranura usando el número de ranura incorrecto, accederá a la matriz fuera de los límites. El resultado es que el controlador cambiará num_domains, que sigue a slot_data en struct mxc_jpeg_dev. Luego, el controlador no separará el dominio pm en rmmod, lo que provocará un pánico del kernel al intentar insmod nuevamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/tm: Fix more userspace r13 democracy Commit cf13435b730a ("powerpc/tm: Fix userspace r13 democracy") corrige un problema en treclaim donde puede ocurrir un error de SLB en thread_struct->ckpt_regs mientras SCRATCH0 está activo con el valor r13 del usuario guardado, golpeándolo con el r13 del kernel y, en última instancia, resultando en que el r13 del kernel se almacene en ckpt_regs. Hay un problema equivalente en trechkpt donde el valor r13 del usuario se carga en r13 desde chkpt_regs para volver a establecer un punto de control, pero podría ocurrir un error de SLB en los accesos a ckpt_regs después de eso, lo que resultará en que r13 se golpee con un valor del kernel y que se vuelva a establecer un punto de control y luego se restaure a los registros del usuario. Se accede a la misma página de memoria justo antes de esta ventana crítica donde un error de SLB podría causar corrupción, por lo que encontrar el error requiere que la entrada de SLB se elimine dentro de una pequeña ventana de instrucciones, lo que es posible si un MCE relacionado con SLB llega allí. PAPR también permite que el hipervisor descarte esta entrada de SLB (porque slb_shadow->persistent solo está configurado en SLB_NUM_BOLTED) aunque no se sabe si alguna implementación haría esto (KVM no lo hace). Por lo tanto, este es un error extremadamente improbable, que solo se encuentra por inspección. Arregle esto almacenando también el usuario r13 en una ubicación temporal en la pila del kernel y no cambie el registro r13 del kernel r13 hasta la sección crítica RI=0 que no falla. El cambio SCRATCH0 no es estrictamente parte de la solución, solo se usa en la sección RI=0, por lo que no tiene el mismo problema que el error SCRATCH0 anterior.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: imx-jpeg: Evitar la decodificación de jpeg NV12M en buffers de un solo planar. Si la aplicación pone en cola un jpeg NV12M como buffer de salida, pero luego pone en cola un solo buffer de captura de un planar, el kernel se bloqueará con el mensaje "No se puede manejar la desreferencia del puntero NULL del kernel" en mxc_jpeg_addrs. Para evitarlo, finalice el trabajo con un error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ntfs: agregar comprobación de integridad en el tamaño de asignación ntfs_read_inode_mount invoca ntfs_malloc_nofs con un tamaño de asignación cero. Activa un ERROR en la función __ntfs_malloc. Solucione esto agregando una comprobación de integridad en ni->attr_list_size.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: no completar dos veces la biografía en caso de errores durante lecturas comprimidas Me encontré con algunos pánicos extraños mientras arreglaba la gestión de errores de btrfs_lookup_bio_sums(). Resulta que la ruta de compresión completará la biografía que usamos si configuramos alguna de las biografías de compresión y luego devolvemos un error, y luego btrfs_submit_data_bio() también llamará a bio_endio() en la biografía. Arregle esto haciendo que btrfs_submit_compressed_read() sea responsable de llamar a bio_endio() en la biografía si hay algún error. Actualmente solo lo hacía si creábamos la biografía de compresión, de lo contrario dependía de btrfs_submit_data_bio() para hacer lo correcto. Esto crea el problema mencionado anteriormente, así que corrija btrfs_submit_compressed_read() para que siempre llame a bio_endio() en caso de error, y luego simplemente regrese de btrfs_submit_data_bio() si tuviéramos que llamar a btrfs_submit_compressed_read().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: no limpiar la biografía de reparación si falla el envío El asistente de envío siempre ejecutará bio_endio() en la biografía si falla el envío, por lo que limpiar la biografía solo conduce a una variedad de errores de use-after-free y de desreferencia de puntero NULL porque competimos con la función endio que está limpiando la biografía. En su lugar, solo devuelva BLK_STS_OK ya que la función de reparación tiene que continuar procesando el resto de las páginas, y el endio para la biografía de reparación hará la limpieza adecuada para la página que se le dio.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rxrpc: Se soluciona el inicio del temporizador de llamadas con la destrucción de llamadas La estructura rxrpc_call tiene un temporizador que se utiliza para gestionar varios eventos temporizados relacionados con una llamada. Este temporizador puede iniciarse desde las rutinas de entrada de paquetes que se ejecutan en modo softirq con solo el bloqueo de lectura RCU mantenido. Desafortunadamente, debido a que solo se mantiene el bloqueo de lectura RCU, y no se toma ninguna referencia ni ningún otro bloqueo, la llamada puede comenzar a destruirse al mismo tiempo que llega un paquete dirigido a esa llamada. Esto hace que el temporizador, que ya estaba detenido, se reinicie. Más tarde, el código de despacho del temporizador puede fallar si el temporizador se desasignó primero. Solucione esto intentando tomar una referencia en la estructura rxrpc_call y, si tiene éxito, pasando esa referencia al temporizador. Si el temporizador ya se estaba ejecutando, la referencia se descarta. La rutina de finalización del temporizador puede pasar la referencia al elemento de trabajo de la llamada cuando lo pone en cola. Si el temporizador o el elemento de trabajo ya estaban en cola o en ejecución, la referencia adicional se descarta.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rtc: gamecube: Se corrige la pérdida de recuento de referencias en gamecube_rtc_read_offset_from_sram La función of_find_compatible_node() devuelve un puntero de nodo con el recuento de referencias incrementado. Deberíamos usar of_node_put() en él cuando termine. Agregue el of_node_put() faltante para liberar el recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: mcba_usb: comprobar correctamente el tipo de endpoint Syzbot informó de una advertencia en usb_submit_urb() que es causada por un tipo de endpoint incorrecto. Deberíamos comprobar que en el endpoint esté realmente presente para evitar esta advertencia. Las tuberías encontradas ahora se guardan en la estructura mcba_priv y el código las usa directamente en lugar de crear tuberías en su lugar. Registro de errores: | usb 5-1: BOGUS urb xfer, pipe 3 != type 1 | ADVERTENCIA: CPU: 1 PID: 49 en drivers/usb/core/urb.c:502 usb_submit_urb+0xed2/0x18a0 drivers/usb/core/urb.c:502 | Módulos vinculados en: | CPU: 1 PID: 49 Comm: kworker/1:2 No contaminado 5.17.0-rc6-syzkaller-00184-g38f80f42147f #0 | Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.14.0-2 04/01/2014 | Cola de trabajo: usb_hub_wq hub_event | RIP: 0010:usb_submit_urb+0xed2/0x18a0 drivers/usb/core/urb.c:502 | ... | Seguimiento de llamadas: | | mcba_usb_start drivers/net/can/usb/mcba_usb.c:662 [en línea] | mcba_usb_probe+0x8a3/0xc50 drivers/net/can/usb/mcba_usb.c:858 | usb_probe_interface+0x315/0x7f0 drivers/usb/core/driver.c:396 | call_driver_probe drivers/base/dd.c:517 [en línea]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: XArray: Arreglar xas_create_range() cuando hay una entrada de orden múltiple presente Si ya hay una entrada presente que es de orden >= XA_CHUNK_SHIFT cuando llamamos a xas_create_range(), xas_create_range() malinterpretará esa entrada como un nodo y desreferenciará xa_node->parent, generalmente provocando un bloqueo que se parece a esto: error de protección general, probablemente para una dirección no canónica 0xdffffc0000000001: 0000 [#1] PREEMPT SMP KASAN KASAN: null-ptr-deref en el rango [0x000000000000008-0x000000000000000f] CPU: 0 PID: 32 Comm: khugepaged No contaminado 5.17.0-rc8-syzkaller-00003-g56e337f2cf13 #0 RIP: 0010:xa_parent_locked include/linux/xarray.h:1207 [inline] RIP: 0010:xas_create_range+0x2d9/0x6e0 lib/xarray.c:725 Es deterministamente reproducible una vez que sabes cuál es el problema, pero producirlo en un núcleo en vivo requiere que khugepaged alcance una ejecución. Si bien el problema ha estado presente desde que se introdujo xas_create_range(), no conozco una forma de alcanzarlo antes de que la caché de páginas se convirtiera para usar entradas de índice múltiple.