Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sysctl: Se corrigen las ejecuciones de datos en proc_dou8vec_minmax(). Se accede a una variable sysctl de forma concurrente y siempre existe la posibilidad de una ejecución de datos. Por lo tanto, todos los lectores y escritores necesitan una protección básica para evitar la rotura de la carga o el almacenamiento. Este parche cambia proc_dou8vec_minmax() para que utilice READ_ONCE() y WRITE_ONCE() internamente para corregir las ejecuciones de datos en el lado de sysctl. Por ahora, proc_dou8vec_minmax() en sí es tolerante a una ejecución de datos, pero aún necesitamos agregar anotaciones en el lado del otro subsistema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915/selftests: se corrige el error de desbordamiento de resta. En algunas máquinas, hole_end puede ser lo suficientemente pequeño como para provocar un desbordamiento de resta. Por otro lado, (addr + 2 * min_alignment) puede desbordarse en caso de pruebas simuladas. Este parche debería solucionar ambos casos. (seleccionado de el commit ab3edc679c552a466e4bf0b11af3666008bd65a2)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vlan: arregla la pérdida de memoria en vlan_newlink() El commit culpable agregó un error que arreglé en el commit 9bbd917e0bec ("vlan: arregla la pérdida de memoria en vlan_dev_set_egress_priority") Si una asignación de memoria falla en vlan_changelink() después de que otras asignaciones tuvieron éxito, debemos llamar a vlan_dev_free_egress_priority() para liberar toda la memoria asignada porque después de un ->newlink() fallido no llamamos a ningún método como ndo_uninit() o dev->priv_destructor(). En el siguiente ejemplo, si falla la asignación del último elemento 2000:2001, necesitamos liberar ocho asignaciones anteriores: ip link add link dummy0 dummy0.100 type vlan id 100 \ egress-qos-map 1:2 2:3 3:4 4:5 5:6 6:7 7:8 8:9 2000:2001 el informe de syzbot fue: ERROR: pérdida de memoria objeto no referenciado 0xffff888117bd1060 (size 32): comm "syz-executor408", pid 3759, jiffies 4294956555 (age 34.090s) hex dump (first 32 bytes): 09 00 00 00 00 a0 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace: [] kmalloc include/linux/slab.h:600 [inline] [] vlan_dev_set_egress_priority+0xed/0x170 net/8021q/vlan_dev.c:193 [] vlan_changelink+0x178/0x1d0 net/8021q/vlan_netlink.c:128 [] vlan_newlink+0x148/0x260 net/8021q/vlan_netlink.c:185 [] rtnl_newlink_create net/core/rtnetlink.c:3363 [inline] [] __rtnl_newlink+0xa58/0xdc0 net/core/rtnetlink.c:3580 [] rtnl_newlink+0x49/0x70 net/core/rtnetlink.c:3593 [] rtnetlink_rcv_msg+0x21c/0x5c0 net/core/rtnetlink.c:6089 [] netlink_rcv_skb+0x87/0x1d0 net/netlink/af_netlink.c:2501 [] netlink_unicast_kernel net/netlink/af_netlink.c:1319 [inline] [] netlink_unicast+0x397/0x4c0 net/netlink/af_netlink.c:1345 [] netlink_sendmsg+0x396/0x710 net/netlink/af_netlink.c:1921 [] sock_sendmsg_nosec net/socket.c:714 [inline] [] sock_sendmsg+0x56/0x80 net/socket.c:734 [] ____sys_sendmsg+0x36c/0x390 net/socket.c:2488 [] ___sys_sendmsg+0x8b/0xd0 net/socket.c:2542 [] __sys_sendmsg net/socket.c:2571 [inline] [] __do_sys_sendmsg net/socket.c:2580 [inline] [] __se_sys_sendmsg net/socket.c:2578 [inline] [] __x64_sys_sendmsg+0x78/0xf0 net/socket.c:2578 [] do_syscall_x64 arch/x86/entry/common.c:50 [inline] [] do_syscall_64+0x35/0xb0 arch/x86/entry/common.c:80 [] entry_SYSCALL_64_after_hwframe+0x46/0xb0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv4: Se ha corregido una ejecución de datos en torno a sysctl_fib_sync_mem. Al leer sysctl_fib_sync_mem, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() para evitar una ejecución de datos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: rt7*-sdw: endurecer el controlador jack_detect_handler Los controladores de códec de auriculares Realtek normalmente comprueban si la tarjeta está instanciada antes de continuar con la detección del conector. Sin embargo, a los modelos rt700, rt711 y rt711-sdca les falta una comprobación en el puntero de la tarjeta, lo que puede provocar desreferencias NULL en las pruebas de vinculación/desvinculación del controlador.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: Intel: sof_sdw: gestión de errores en el registro de la tarjeta Si el registro de la tarjeta falla, generalmente debido a sondeos diferidos, las propiedades del dispositivo agregadas para los códecs de auriculares no se eliminan, lo que genera errores del kernel en las pruebas de vinculación/desvinculación del controlador. Ya limpiamos las propiedades del dispositivo cuando se quita la tarjeta, este código se puede mover como ayudante y llamar en caso de errores de registro de la tarjeta.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: aspeed: Se corrige la posible desreferenciación de NULL en aspeed_pinmux_set_mux() pdesc podría ser nulo, pero aún así desreferenciar pdesc->name y esto conducirá a un acceso a un puntero nulo. Por lo tanto, movemos una verificación de valores nulos antes de la desreferenciación.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: sfp: se corrige la pérdida de memoria en sfp_probe() sfp_probe() asigna un fragmento de memoria de sfp con sfp_alloc(). Cuando devm_add_action() falla, sfp no se libera, lo que provoca una pérdida de memoria. Deberíamos utilizar devm_add_action_or_reset() en lugar de devm_add_action().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: tipc: corrige una posible pérdida de recuento de referencias en tipc_sk_create(). Libera sk en caso de que tipc_sk_insert() falle.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cpufreq: pmac32-cpufreq: Corregir error de pérdida de recuento de referencias En pmac_cpufreq_init_MacRISC3(), necesitamos agregar of_node_put() correspondiente para los tres punteros de nodo cuyo recuento de referencias se ha incrementado mediante of_find_node_by_name().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_tables: evitar el acceso a skb en nf_stolen Cuando el veredicto es NF_STOLEN, es posible que se haya liberado el skb. Cuando el rastreo está habilitado, esto puede dar como resultado un use-after-free: 1. acceso a skb->nf_trace 2. acceso a skb->mark 3. cálculo del identificador de rastreo 4. volcado de el payload del paquete Para evitar 1, mantenga una copia en caché de skb->nf_trace en la estructura de estado de rastreo. Actualice esta copia siempre que el veredicto sea != STOLEN. Evite 2 omitiendo el acceso a skb->mark si el veredicto es STOLEN. 3 se evita precalculando el identificador de rastreo. Solo vuelque el paquete cuando el veredicto no sea "STOLEN".

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/xive/spapr: tamaño de asignación de mapa de bits correcto kasan detecta acceso más allá del final de la asignación xibm->bitmap: ERROR: KASAN: slab-out-of-bounds en _find_first_zero_bit+0x40/0x140 Lectura de tamaño 8 en la dirección c00000001d1d0118 by task swapper/0/1 CPU: 0 PID: 1 Comm: swapper/0 Not tainted 5.19.0-rc2-00001-g90df023b36dd #28 Call Trace: [c00000001d98f770] [c0000000012baab8] dump_stack_lvl+0xac/0x108 (unreliable) [c00000001d98f7b0] [c00000000068faac] print_report+0x37c/0x710 [c00000001d98f880] [c0000000006902c0] kasan_report+0x110/0x354 [c00000001d98f950] [c000000000692324] __asan_load8+0xa4/0xe0 [c00000001d98f970] [c0000000011c6ed0] _find_first_zero_bit+0x40/0x140 [c00000001d98f9b0] [c0000000000dbfbc] xive_spapr_get_ipi+0xcc/0x260 [c00000001d98fa70] [c0000000000d6d28] xive_setup_cpu_ipi+0x1e8/0x450 [c00000001d98fb30] [c000000004032a20] pSeries_smp_probe+0x5c/0x118 [c00000001d98fb60] [c000000004018b44] smp_prepare_cpus+0x944/0x9ac [c00000001d98fc90] [c000000004009f9c] kernel_init_freeable+0x2d4/0x640 [c00000001d98fd90] [c0000000000131e8] kernel_init+0x28/0x1d0 [c00000001d98fe10] [c00000000000cd54] ret_from_kernel_thread+0x5c/0x64 Allocated by task 0: kasan_save_stack+0x34/0x70 __kasan_kmalloc+0xb4/0xf0 __kmalloc+0x268/0x540 xive_spapr_init+0x4d0/0x77c pseries_init_irq+0x40/0x27c init_IRQ+0x44/0x84 start_kernel+0x2a4/0x538 start_here_common+0x1c/0x20 The buggy address belongs to the object at c00000001d1d0118 which belongs to the cache kmalloc-8 of size 8 The buggy address is located 0 bytes inside of 8-byte region [c00000001d1d0118, c00000001d1d0120) The buggy address belongs to the physical page: page:c00c000000074740 refcount:1 mapcount:0 mapping:0000000000000000 index:0xc00000001d1d0558 pfn:0x1d1d flags: 0x7ffff000000200(slab|node=0|zone=0|lastcpupid=0x7ffff) raw: 007ffff000000200 c00000001d0003c8 c00000001d0003c8 c00000001d010480 raw: c00000001d1d0558 0000000001e1000a 00000001ffffffff 0000000000000000 page dumped because: kasan: bad access detected Memory state around the buggy address: c00000001d1d0000: fc 00 fc fc fc fc fc fc fc fc fc fc fc fc fc fc c00000001d1d0080: fc fc 00 fc fc fc fc fc fc fc fc fc fc fc fc fc >c00000001d1d0100: fc fc fc 02 fc fc fc fc fc fc fc fc fc fc fc fc ^ c00000001d1d0180: fc fc fc fc 04 fc fc fc fc fc fc fc fc fc fc fc c00000001d1d0200: fc fc fc fc fc 04 fc fc fc fc fc fc fc fc fc fc esto sucede porque la asignación utiliza la unidad incorrecta (bits) cuando debería pasar (BITS_TO_LONGS(count) * sizeof(long)) o equivalente. Con una pequeña cantidad de bits, el objeto asignado puede ser más pequeño que sizeof(long), lo que genera accesos no válidos. Utilice bitmap_zalloc() para asignar e inicializar el mapa de bits de irq, junto con bitmap_free() para mantener la coherencia.