Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915: Tomar intel_display del codificador para evitar posibles errores Tomar intel_display de 'encoder' en lugar de 'state' en los ganchos del codificador para evitar el enorme problema que es intel_sanitize_encoder(), que pasa NULL como el argumento 'state' a .disable() y .post_disable() del codificador. TODO: averiguar cómo solucionar realmente intel_sanitize_encoder()...

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: clk: mmp: pxa1908-mpmu: Se corrige una comprobación de NULL frente a IS_ERR() La función devm_kzalloc() devuelve NULL en caso de error, no punteros de error. Actualice la comprobación para que coincida.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: bpf_local_storage: Always use bpf_mem_alloc in PREEMPT_RT In PREEMPT_RT, kmalloc(GFP_ATOMIC) is still not safe in non preemptible context. bpf_mem_alloc must be used in PREEMPT_RT. This patch is to enforce bpf_mem_alloc in the bpf_local_storage when CONFIG_PREEMPT_RT is enabled. [ 35.118559] BUG: sleeping function called from invalid context at kernel/locking/spinlock_rt.c:48 [ 35.118566] in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 1832, name: test_progs [ 35.118569] preempt_count: 1, expected: 0 [ 35.118571] RCU nest depth: 1, expected: 1 [ 35.118577] INFO: lockdep is turned off. ... [ 35.118647] __might_resched+0x433/0x5b0 [ 35.118677] rt_spin_lock+0xc3/0x290 [ 35.118700] ___slab_alloc+0x72/0xc40 [ 35.118723] __kmalloc_noprof+0x13f/0x4e0 [ 35.118732] bpf_map_kzalloc+0xe5/0x220 [ 35.118740] bpf_selem_alloc+0x1d2/0x7b0 [ 35.118755] bpf_local_storage_update+0x2fa/0x8b0 [ 35.118784] bpf_sk_storage_get_tracing+0x15a/0x1d0 [ 35.118791] bpf_prog_9a118d86fca78ebb_trace_inet_sock_set_state+0x44/0x66 [ 35.118795] bpf_trace_run3+0x222/0x400 [ 35.118820] __bpf_trace_inet_sock_set_state+0x11/0x20 [ 35.118824] trace_inet_sock_set_state+0x112/0x130 [ 35.118830] inet_sk_state_store+0x41/0x90 [ 35.118836] tcp_set_state+0x3b3/0x640 No es necesario ajustar el gfp_flags que se pasa a bpf_mem_cache_alloc_flags() que solo respeta el GFP_KERNEL. El verificador se ha asegurado de que GFP_KERNEL se pase solo en un contexto en el que se pueda dormir. Ha sido un problema antiguo desde la primera introducción de bpf_local_storage hace unos 5 años, por lo que este parche apunta a bpf-next. Se necesita bpf_mem_alloc para resolverlo, por lo que la etiqueta Fixes se establece en el commit cuando bpf_mem_alloc se utilizó por primera vez en bpf_local_storage.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/msm/dpu: comprobar dpu_plane_atomic_print_state() para sspp válidos De manera similar a la protección r_pipe sspp, agregue una verificación para proteger las impresiones del estado de la tubería para evitar la desreferencia de ptr NULL para los casos en que el estado se vuelca sin un atomic_check() correspondiente donde se asigna pipe->sspp. Patchwork: https://patchwork.freedesktop.org/patch/628404/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: OPP: se corrige dev_pm_opp_find_bw_*() cuando la tabla de ancho de banda no está inicializada Si un controlador llama a dev_pm_opp_find_bw_ceil/floor() para recuperar el ancho de banda de la tabla OPP pero la tabla de ancho de banda no se creó porque faltaban las propiedades de interconexión en el nodo consumidor de OPP, el kernel se bloqueará con: No se puede gestionar la desreferencia del puntero NULL del kernel en la dirección virtual 0000000000000004 ... pc : _read_bw+0x8/0x10 lr : _opp_table_find_key+0x9c/0x174 ... Rastreo de llamada: _read_bw+0x8/0x10 (P) _opp_table_find_key+0x9c/0x174 (L) _find_key+0x98/0x168 dev_pm_opp_find_bw_ceil+0x50/0x88 ... Para solucionar el fallo, cree una función de afirmación para verificar si la tabla de ancho de banda se creó antes de intentar obtener un ancho de banda con _read_bw().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rtc: pcf85063: se corrige una posible escritura OOB en la lectura NVMEM PCF85063 La interfaz nvmem admite tamaños de búfer variables, mientras que la interfaz regmap opera con almacenamiento de tamaño fijo. Si un cliente nvmem usa un tamaño de búfer menor a 4 bytes, regmap_read escribirá fuera de los límites ya que espera que el búfer apunte a una int sin signo. Corrija esto usando una int sin signo intermedia para contener el valor.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: equipo: evitar agregar un dispositivo que ya es un dispositivo de equipo inferior Evitar agregar un dispositivo que ya es un dispositivo de equipo inferior, por ejemplo, agregar veth0 si vlan1 ya se agregó y veth0 es un inferior de vlan1. Esto no es útil en la práctica y puede provocar un bloqueo recursivo: $ ip link add veth0 type veth peer name veth1 $ ip link set veth0 up $ ip link set veth1 up $ ip link add link veth0 name veth0.1 type vlan protocol 802.1Q id 1 $ ip link add team0 type team $ ip link set veth0.1 down $ ip link set veth0.1 master team0 team0: Port device veth0.1 added $ ip link set veth0 down $ ip link set veth0 master team0 ============================================ WARNING: possible recursive locking detected 6.13.0-rc2-virtme-00441-ga14a429069bb #46 Not tainted -------------------------------------------- ip/7684 is trying to acquire lock: ffff888016848e00 (team->team_lock_key){+.+.}-{4:4}, at: team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) but task is already holding lock: ffff888016848e00 (team->team_lock_key){+.+.}-{4:4}, at: team_add_slave (drivers/net/team/team_core.c:1147 drivers/net/team/team_core.c:1977) other info that might help us debug this: Possible unsafe locking scenario: CPU0 ---- lock(team->team_lock_key); lock(team->team_lock_key); *** DEADLOCK *** May be due to missing lock nesting notation 2 locks held by ip/7684: stack backtrace: CPU: 3 UID: 0 PID: 7684 Comm: ip Not tainted 6.13.0-rc2-virtme-00441-ga14a429069bb #46 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-debian-1.16.3-2 04/01/2014 Call Trace: dump_stack_lvl (lib/dump_stack.c:122) print_deadlock_bug.cold (kernel/locking/lockdep.c:3040) __lock_acquire (kernel/locking/lockdep.c:3893 kernel/locking/lockdep.c:5226) ? netlink_broadcast_filtered (net/netlink/af_netlink.c:1548) lock_acquire.part.0 (kernel/locking/lockdep.c:467 kernel/locking/lockdep.c:5851) ? team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) ? trace_lock_acquire (./include/trace/events/lock.h:24 (discriminator 2)) ? team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) ? lock_acquire (kernel/locking/lockdep.c:5822) ? team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) __mutex_lock (kernel/locking/mutex.c:587 kernel/locking/mutex.c:735) ? team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) ? team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) ? fib_sync_up (net/ipv4/fib_semantics.c:2167) ? team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) team_device_event (drivers/net/team/team_core.c:2928 drivers/net/team/team_core.c:2951 drivers/net/team/team_core.c:2973) notifier_call_chain (kernel/notifier.c:85) call_netdevice_notifiers_info (net/core/dev.c:1996) __dev_notify_flags (net/core/dev.c:8993) ? __dev_change_flags (net/core/dev.c:8975) dev_change_flags (net/core/dev.c:9027) vlan_device_event (net/8021q/vlan.c:85 net/8021q/vlan.c:470) ? br_device_event (net/bridge/br.c:143) notifier_call_chain (kernel/notifier.c:85) call_netdevice_notifiers_info (net/core/dev.c:1996) dev_open (net/core/dev.c:1519 net/core/dev.c:1505) team_add_slave (drivers/net/team/team_core.c:1219 drivers/net/team/team_core.c:1977) ? __pfx_team_add_slave (drivers/net/team/team_core.c:1972) do_set_master (net/core/rtnetlink.c:2917) do_setlink.isra.0 (net/core/rtnetlink.c:3117)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtlwifi: eliminar check_buddy_priv no utilizado el commit 2461c7d60f9f ("rtlwifi: Actualizar archivo de encabezado") introdujo una lista global de estructuras de datos privados. Más tarde, el commit 26634c4b1868 ("rtlwifi Modificar bits existentes para que coincidan con la versión del proveedor 2013.02.07") comenzó a agregar los datos privados a esa lista en el momento del sondeo y agregó un gancho, check_buddy_priv para encontrar los datos privados de un dispositivo similar. Sin embargo, esa función nunca se usó. Además, aunque hay un bloqueo para esa lista, nunca se usa. Y cuando el sondeo falla, los datos privados nunca se eliminan de la lista. Esto haría que un segundo sondeo acceda a la memoria liberada. Elimine el gancho, las estructuras y los miembros no utilizados, lo que evitará la posible condición de ejecución en la lista y su corrupción durante un segundo sondeo cuando el sondeo falla.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: uvcvideo: Se solucionó el bloqueo durante uvc_probe Si uvc_probe() falla, puede terminar llamando a uvc_status_unregister() antes de que se llame a uvc_status_init(). Solucione esto verificando si dev->status es NULL o no en uvc_status_unregister().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Rechazar el registro de struct_ops que usa el módulo ptr y falta el módulo btf_id Hay un informe UAF en bpf_struct_ops cuando CONFIG_MODULES=n. En particular, el informe está en tcp_congestion_ops que tiene un miembro "struct module *owner". Para struct_ops que tiene un miembro "struct module *owner", puede extenderse mediante el módulo de kernel regular o mediante bpf_struct_ops. bpf_try_module_get() se usará para hacer el recuento de referencias y se realiza un recuento de referencias diferente según el puntero del propietario. Cuando CONFIG_MODULES=n, falta el btf_id del "struct module": WARN: resolve_btfids: módulo de símbolo sin resolver Por lo tanto, bpf_try_module_get() no puede hacer el recuento de referencias correcto. No todos los struct_ops de los subsistemas requieren el miembro "struct module *owner", por ejemplo, el reciente sched_ext_ops. Este parche sirve para deshabilitar el registro de bpf_struct_ops si struct_ops tiene el miembro "struct module *" y falta el btf_id "struct module". El asistente btf_type_is_fwd() se ha movido al archivo de encabezado btf.h para esta prueba. Esto ha sucedido desde el comienzo de bpf_struct_ops, que ha sufrido muchos cambios. La etiqueta Fixes se establece en una confirmación reciente que este parche puede aplicar sin problemas. Teniendo en cuenta que CONFIG_MODULES=n no es común y la antigüedad del problema, también se apunta a bpf-next.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: iwlwifi: mvm: evitar la desreferencia de puntero NULL Al iterar sobre los enlaces de un vif, debemos asegurarnos de que el puntero sea válido (en otras palabras, que el enlace exista) antes de desreferenciarlo. Utilice for_each_vif_active_link que también realiza la verificación.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: cfg80211: pruebas: Se corrige la posible desreferenciación de NULL en test_cfg80211_parse_colocated_ap() kunit_kzalloc() puede devolver NULL, desreferenciarlo sin la comprobación de NULL puede provocar una desreferencia de NULL. Agregue una comprobación de NULL para ies.