Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ARM: hisi: Agregar la falta de of_node_put después de of_find_compatible_node of_find_compatible_node incrementará el recuento de referencias del device_node devuelto. Llamar a of_node_put() para evitar la pérdida de recuento de referencias

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: soc: bcm: Verificar el retorno NULL de devm_kzalloc() Como posible fallo de asignación, devm_kzalloc() puede devolver NULL. Entonces, 'pd->pmb' y las siguientes líneas de código pueden generar una desreferencia de puntero nulo. Por lo tanto, es mejor verificar el valor de retorno de devm_kzalloc() para evitar esta confusión.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: renesas: rzn1: Se corrige la posible eliminación de referencias PTR nulas en sh_pfc_map_resources(). Esto provocará una eliminación de referencias PTR nulas al usar 'res', si platform_get_resource() devuelve NULL, por lo que se debe mover el uso de 'res' después de devm_ioremap_resource() que lo comprobará para evitar la eliminación de referencias PTR nulas. Y se utiliza devm_platform_get_and_ioremap_resource() para simplificar el código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rxrpc: Se corrige que listen() estableciera la barra demasiado alta para los anillos de preasignación El controlador listen() de AF_RXRPC le permite establecer el backlog hasta 32 (si aumenta el sysctl), pero mientras que los búferes circulares de preasignación tienen 32 ranuras en ellos, una de ellas tiene que ser una ranura muerta porque estamos usando CIRC_CNT(). Esto significa que listen(rxrpc_sock, 32) causará un oops cuando el socket se cierre porque rxrpc_service_prealloc_one() asignó una llamada de más y rxrpc_discard_prealloc() no podrá deshacerse de ellas porque pensará que el anillo está vacío. rxrpc_release_calls_on_socket() luego intenta abortarlas, pero falla porque call->peer aún no está configurado. Solucione esto configurando el backlog máximo en RXRPC_BACKLOG_MAX - 1 para que coincida con la capacidad del anillo. ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000086 ... RIP: 0010:rxrpc_send_abort_packet+0x73/0x240 [rxrpc] Call Trace: ? __wake_up_common_lock+0x7a/0x90 ? rxrpc_notify_socket+0x8e/0x140 [rxrpc] ? rxrpc_abort_call+0x4c/0x60 [rxrpc] rxrpc_release_calls_on_socket+0x107/0x1a0 [rxrpc] rxrpc_release+0xc9/0x1c0 [rxrpc] __sock_release+0x37/0xa0 sock_close+0x11/0x20 __fput+0x89/0x240 task_work_run+0x59/0x90 do_exit+0x319/0xaa0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: firmware: arm_scmi: Se corrige la enumeración de protocolos de lista en el protocolo base Al enumerar protocolos implementados por la plataforma SCMI utilizando BASE_DISCOVER_LIST_PROTOCOLS, la cantidad de protocolos devueltos actualmente se valida de manera incorrecta ya que la verificación emplea una suma entre números enteros sin signo que podría desbordarse y hacer que la verificación en sí se omita silenciosamente si el valor devuelto 'loop_num_ret' es lo suficientemente grande. Arregle la validación evitando la suma.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dpaa2-eth: recuperar la dirección virtual antes de dma_unmap El encabezado TSO fue desasignado por DMA antes de que se recuperara la dirección virtual y luego se usara para liberar el búfer. Esto significaba que en realidad estábamos eliminando el mapa DMA y luego tratando de buscarlo para ayudar a recuperar la dirección virtual. Esto llevó a que se usara una dirección virtual no válida en la llamada kfree. Solucione esto llamando a dpaa2_iova_to_virt() antes de la llamada dma_unmap. [ 487.231819] No se puede gestionar la solicitud de paginación del núcleo en la dirección virtual fffffd9807000008 (...) [ 487.354061] Hardware name: SolidRun LX2160A Honeycomb (DT) [ 487.359535] pstate: a0400005 (NzCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 487.366485] pc : kfree+0xac/0x304 [ 487.369799] lr : kfree+0x204/0x304 [ 487.373191] sp : ffff80000c4eb120 [ 487.376493] x29: ffff80000c4eb120 x28: ffff662240c46400 x27: 0000000000000001 [ 487.383621] x26: 0000000000000001 x25: ffff662246da0cc0 x24: ffff66224af78000 [ 487.390748] x23: ffffad184f4ce008 x22: ffffad1850185000 x21: ffffad1838d13cec [ 487.397874] x20: ffff6601c0000000 x19: fffffd9807000000 x18: 0000000000000000 [ 487.405000] x17: ffffb910cdc49000 x16: ffffad184d7d9080 x15: 0000000000004000 [ 487.412126] x14: 0000000000000008 x13: 000000000000ffff x12: 0000000000000000 [ 487.419252] x11: 0000000000000004 x10: 0000000000000001 x9 : ffffad184d7d927c [ 487.426379] x8 : 0000000000000000 x7 : 0000000ffffffd1d x6 : ffff662240a94900 [ 487.433505] x5 : 0000000000000003 x4 : 0000000000000009 x3 : ffffad184f4ce008 [ 487.440632] x2 : ffff662243eec000 x1 : 0000000100000100 x0 : fffffc0000000000 [ 487.447758] Call trace: [ 487.450194] kfree+0xac/0x304 [ 487.453151] dpaa2_eth_free_tx_fd.isra.0+0x33c/0x3e0 [fsl_dpaa2_eth] [ 487.459507] dpaa2_eth_tx_conf+0x100/0x2e0 [fsl_dpaa2_eth] [ 487.464989] dpaa2_eth_poll+0xdc/0x380 [fsl_dpaa2_eth]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: soc: ti: ti_sci_pm_domains: Verificación de retorno nulo de devm_kcalloc La función de asignación devm_kcalloc puede fallar y devolver un puntero nulo, lo que provocaría una desreferencia de puntero nulo más adelante. Puede ser mejor verificarlo y devolver directamente -ENOMEM tal como se hizo con devm_kcalloc en el código anterior.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: mediatek: Se corrige la pérdida de recuento de referencias en mtk_pcie_subsys_powerup() La función of_find_compatible_node() devuelve un puntero de nodo con el recuento de referencias incrementado. Deberíamos usar of_node_put() en él cuando termine. Agregue el of_node_put() faltante para liberar el recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: ocxl: se corrige la posible doble liberación en ocxl_file_register_afu. Se llamará a info_release() en device_unregister() cuando el recuento de referencias de info->dev sea 0. Por lo tanto, no es necesario llamar a ocxl_afu_put() y kfree() nuevamente. Corrija esto agregando free_minor() y regrese a la ruta de error err_unregister.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bonding: se corrige la protección rcu faltante Al eliminar rcu_read_lock en bond_ethtool_get_ts_info() como se discutió [1], no noté que se podía llamar a través de setsockopt, que no mantiene el bloqueo rcu, como señaló syzbot: seguimiento de pila: CPU: 0 PID: 3599 Comm: syz-executor317 Not tainted 5.18.0-rc5-syzkaller-01392-g01f4685797a5 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 Call Trace: __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0xcd/0x134 lib/dump_stack.c:106 bond_option_active_slave_get_rcu include/net/bonding.h:353 [inline] bond_ethtool_get_ts_info+0x32c/0x3a0 drivers/net/bonding/bond_main.c:5595 __ethtool_get_ts_info+0x173/0x240 net/ethtool/common.c:554 ethtool_get_phc_vclocks+0x99/0x110 net/ethtool/common.c:568 sock_timestamping_bind_phc net/core/sock.c:869 [inline] sock_set_timestamping+0x3a3/0x7e0 net/core/sock.c:916 sock_setsockopt+0x543/0x2ec0 net/core/sock.c:1221 __sys_setsockopt+0x55e/0x6a0 net/socket.c:2223 __do_sys_setsockopt net/socket.c:2238 [inline] __se_sys_setsockopt net/socket.c:2235 [inline] __x64_sys_setsockopt+0xba/0x150 net/socket.c:2235 do_syscall_x64 arch/x86/entry/common.c:50 [inline] do_syscall_64+0x35/0xb0 arch/x86/entry/common.c:80 entry_SYSCALL_64_after_hwframe+0x44/0xae RIP: 0033:0x7f8902c8eb39 Fix it by adding rcu_read_lock and take a ref on the real_dev. Since dev_hold() and dev_put() can take NULL these days, we can skip checking if real_dev exist. [1] https://lore.kernel.org/netdev/27565.1642742439@famine/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/papr_scm: Se soluciona la fuga de elementos nvdimm_events_map En este momento, los elementos 'char *' asignados para el individuo 'stat_id' en 'papr_scm_priv.nvdimm_events_map[]' durante papr_scm_pmu_check_events(), se filtran en las rutas de error papr_scm_remove() y papr_scm_pmu_register(), papr_scm_pmu_check_events(). Además, los 'stat_id' individuales no son 'char *' terminados en NULL, sino que son identificadores fijos de tamaño de 8 bytes. Sin embargo, papr_scm_pmu_register() asume que es un 'char *' terminado en NULL y en otros lugares asume que es una cadena de tamaño 'papr_scm_perf_stat.stat_id' que tiene un tamaño de 8 bytes. Solucione este problema asignando la memoria para papr_scm_priv.nvdimm_events_map para que también incluya espacio para las entradas 'stat_id'. Esto es posible ya que la cantidad de eventos/stat_id disponibles se conoce de antemano. Esto ahorra algo de memoria y un nivel adicional de indirección de 'nvdimm_events_map' a 'stat_id'. Además, el resto del código puede continuar llamando a 'kfree(papr_scm_priv.nvdimm_events_map)' sin necesidad de iterar sobre la matriz y liberar elementos individuales.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/xive: Se corrige la pérdida de recuento de referencias en xive_spapr_init. of_find_compatible_node() devuelve un puntero de nodo con el recuento de referencias incrementado; cuando termine, debemos usar of_node_put() en él. Agregue el error of_node_put() faltante para evitar la pérdida de recuento de referencias.