Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: acpi: nfit: corrección de la conversión de restricción en acpi_nfit_ctl. Syzkaller ha informado de una advertencia en to_nfit_bus_uuid(): "Solo se pueden traducir familias de bus secundarias". Esta advertencia se emite si el argumento es igual a NVDIMM_BUS_FAMILY_NFIT == 0. La función acpi_nfit_ctl() verifica primero que el valor proporcionado por el usuario, call_pkg->nd_family, de tipo u64, no sea igual a 0. A continuación, el valor se convierte a int y solo después se compara con NVDIMM_BUS_FAMILY_MAX. Esto puede provocar que se pase un argumento no válido a acpi_nfit_ctl() si call_pkg->nd_family es distinto de cero, mientras que los 32 bits inferiores son cero. Además, se recomienda devolver EINVAL inmediatamente después de detectar la entrada de usuario no válida. La advertencia no es suficiente para evitar un comportamiento indefinido posterior basado en otra entrada de usuario no válida. Todas las comprobaciones del valor de entrada deben aplicarse a la variable original call_pkg->nd_family. [iweiny: actualizar mensaje de confirmación]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/mm: Arregla flush_tlb_range() cuando se usa para zapping de PMD normales En la siguiente ruta, flush_tlb_range() se puede usar para zapping de entradas PMD normales (entradas PMD que apuntan a tablas de páginas) junto con las entradas PTE en la tabla de páginas apuntada: colapso_pte_mapped_thp pmdp_collapse_flush flush_tlb_range La versión arm64 de flush_tlb_range() tiene un comentario que describe que se puede usar para la eliminación de la tabla de páginas y no usa ninguna optimización de invalidación de último nivel. Arregla la versión X86 haciendo que se comporte de la misma manera. Actualmente, X86 solo usa esta información para los dos propósitos siguientes, lo que creo que significa que el problema no tiene mucho impacto: - En native_flush_tlb_multi() para verificar si las CPU TLB perezosas necesitan ser IPI'd para evitar problemas con recorridos especulativos de la tabla de páginas. En la paravirtualización de TLB de Hyper-V, de nuevo para problemas de TLB lentos. El parche "x86/mm: solo invalidar las traducciones finales con INVLPGB", actualmente en revisión (véase ), probablemente estaría agravando considerablemente el impacto de esto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: agregar verificación de los límites para el contexto de creación de arrendamiento. Agregar verificación de los límites faltante para el contexto de creación de arrendamiento.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/gup: rechazo de FOLL_SPLIT_PMD con VMAs hugetlb. Serie de parches "mm: correcciones para entradas exclusivas de dispositivo (hmm)", v2. Al hablar con Willy sobre la llamada a PageTail() en make_device_exclusive_range(), descubrí recientemente [1] que la gestión exclusiva de dispositivo no funciona correctamente con THP, lo que provoca que las autopruebas hmm-tests fallen si las THP están habilitadas en el sistema. Al analizar más a fondo, descubrí que hugetlb no está correctamente protegido y me di cuenta de que algo que me había estado molestando durante mucho tiempo (la interacción de las entradas exclusivas de dispositivo con mapcounts) interrumpe por completo la gestión de migración/intercambio/división/hwpoison de estos folios mientras tienen PTE exclusivas de dispositivo. El programa a continuación se puede usar para asignar 1 GiB de páginas y convertirlas en exclusivas de dispositivo en un kernel con CONFIG_TEST_HMM. Una vez que son exclusivos del dispositivo, estos folios no se pueden intercambiar (proc$pid/smaps_rollup siempre indicará 1 GiB RSS sin importar cuánto se fuerce la recuperación de memoria) y cuando se tiene un bloque de memoria en línea en ZONE_MOVABLE, al intentar desconectarlo se repetirá eternamente y se quejará sobre la migración fallida de una página que debería ser movible. # echo offline > /sys/devices/system/memory/memory136/state # echo online_movable > /sys/devices/system/memory/memory136/state # ./hmm-swap & ... wait until everything is device-exclusive # echo offline > /sys/devices/system/memory/memory136/state [ 285.193431][T14882] page: refcount:2 mapcount:0 mapping:0000000000000000 index:0x7f20671f7 pfn:0x442b6a [ 285.196618][T14882] memcg:ffff888179298000 [ 285.198085][T14882] anon flags: 0x5fff0000002091c(referenced|uptodate| dirty|active|owner_2|swapbacked|node=1|zone=3|lastcpupid=0x7ff) [ 285.201734][T14882] raw: ... [ 285.204464][T14882] raw: ... [ 285.207196][T14882] page dumped because: migration failure [ 285.209072][T14882] page_owner tracks the page as allocated [ 285.210915][T14882] page last allocated via order 0, migratetype Movable, gfp_mask 0x140dca(GFP_HIGHUSER_MOVABLE|__GFP_COMP|__GFP_ZERO), id 14926, tgid 14926 (hmm-swap), ts 254506295376, free_ts 227402023774 [ 285.216765][T14882] post_alloc_hook+0x197/0x1b0 [ 285.218874][T14882] get_page_from_freelist+0x76e/0x3280 [ 285.220864][T14882] __alloc_frozen_pages_noprof+0x38e/0x2740 [ 285.223302][T14882] alloc_pages_mpol+0x1fc/0x540 [ 285.225130][T14882] folio_alloc_mpol_noprof+0x36/0x340 [ 285.227222][T14882] vma_alloc_folio_noprof+0xee/0x1a0 [ 285.229074][T14882] __handle_mm_fault+0x2b38/0x56a0 [ 285.230822][T14882] handle_mm_fault+0x368/0x9f0 ... Esta serie corrige todos los problemas que he encontrado hasta ahora. No hay una solución sencilla sin una revisión o limpieza más profunda. Tengo varias correcciones adicionales (algunas enviadas previamente, otras resultantes de la discusión en la v1) que publicaré por separado una vez que esté disponible y pueda con ello. Ojalá pudiéramos usar algunas PTE PROT_NONE presentes especiales en lugar de estas entradas de intercambio falso (no presentes, no ninguna); pero eso solo resulta en el mismo problema que seguimos teniendo (falta de bits de PTE de repuesto), y al observar otras entradas de intercambio falso similares, ese barco ya pasó. Con esta serie, make_device_exclusive() ya no pertenece a mm/rmap.c, pero lo dejaré para otro día. Solo probé esta serie con las autopruebas hmm-tests debido a la falta de hardware, así que agradecería algunas pruebas, especialmente si la interacción entre dos GPU que buscan una entrada de dispositivo exclusivo funciona como se espera. #include #include #include #include #include #include #include #include #include #include #define HMM_DMIRROR_EXCLUSIVE _IOWR('H', 0x05, ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: exfat: corrige la corrupción de pila aleatoria después de get_block Cuando se llama a get_block con un buffer_head asignado en la pila, como do_mpage_readpage, puede ocurrir una corrupción de pila debido a buffer_head UAF en la siguiente situación de condición de ejecución. mpage_read_folio <> do_mpage_readpage exfat_get_block bh_read __bh_read get_bh(bh) submit_bh wait_on_buffer ... end_buffer_read_sync __end_buffer_read_notouch unlock_buffer <> ... ... ... ... <> . . another_function <> put_bh(bh) atomic_dec(bh->b_count) * Corrupción de pila aquí * Este parche devuelve -EAGAIN si un folio no tiene búferes cuando se necesita llamar a bh_read. De esta manera, quien lo llama puede recurrir a funciones como block_read_full_folio(), crear un buffer_head en el folio y luego volver a llamar a get_block. No llamemos a bh_read() con buffer_head en la pila.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige la desreferencia de puntero nulo en alloc_preauth_hash(). El cliente envía una solicitud de negociación de SMB2 mal formada. ksmbd devuelve una respuesta de error. Posteriormente, el cliente puede enviar la configuración de sesión de SMB2 incluso si conn->preauth_info no está asignado. Este parche añade el estado de conexión KSMBD_SESS_NEED_SETUP para ignorar la solicitud de configuración de sesión si la fase de negociación de SMB2 no se completa.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: corrección de desbordamiento en la comprobación de los límites de dacloffset. El campo dacloffset se tipificó originalmente como int y se usó en una adición sin comprobar, lo que podría desbordarse y omitir la comprobación de los límites existente tanto en smb_check_perm_dacl() como en smb_inherit_dacl(). Esto podría provocar un acceso a memoria fuera de los límites y un fallo del kernel al desreferenciar el puntero DACL. Este parche convierte dacloffset a unsigned int y utiliza check_add_overflow() para validar el acceso a la DACL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tracing: Fix use-after-free en print_graph_function_flags durante el cambio de tracer Kairui informó de un problema de UAF en print_graph_function_flags() durante las pruebas de estrés de ftrace [1]. Este problema se puede reproducir si se pone un 'mdelay(10)' después de 'mutex_unlock(&trace_types_lock)' en s_start() y se ejecuta el siguiente script: $ echo function_graph > current_tracer $ cat trace > /dev/null & $ sleep 5 # Asegurarse de que 'cat' alcance el punto 'mdelay(10)' $ echo timerlat > current_tracer La causa raíz se encuentra en las dos llamadas a print_graph_function_flags dentro de print_trace_line durante cada s_show(): * Una a través de 'iter->trace->print_line()'; * Otra función mediante 'event->funcs->trace()', que está oculta en print_trace_fmt() antes del retorno de print_trace_line. Al cambiar de trazador, solo se actualiza el primero, mientras que el segundo continúa usando la función print_line del trazador anterior, que en el script anterior es print_graph_function_flags. Además, al cambiar del trazador 'function_graph' al trazador 'timerlat', s_start solo llama a graph_trace_close del trazador 'function_graph' para liberar 'iter->private', pero no lo establece en NULL. Esto permite que 'event->funcs->trace()' use un 'iter->private' no válido. Para solucionar este problema, establezca 'iter->private' en NULL inmediatamente después de liberarlo en graph_trace_close(), lo que garantiza que no se pase un puntero no válido a otros trazadores. Además, limpie el 'iter->private = NULL' innecesario durante cada 'cat trace' al usar los trazadores wakeup e irqsoff. [1] https://lore.kernel.org/all/20231112150030.84609-1-ryncsn@gmail.com/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: validar num_subauth a cero antes de acceder a sub_auth. Acceder a psid->sub_auth[psid->num_subauth - 1] sin comprobar si num_subauth es distinto de cero provoca una lectura fuera de los límites. Este parche añade un paso de validación para garantizar que num_subauth sea != 0 antes de acceder a sub_auth.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: corrección de use-after-free en ksmbd_sessions_deregister() En el modo multicanal, el problema de UAF puede ocurrir en session_deregister cuando el segundo canal configura una sesión a través de la conexión del primer canal. A la sesión que se libera a través de la tabla de sesiones global se puede acceder nuevamente a través de ->sessions de la conexión.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: corregir sesión use-after-free en conexión multicanal. Existe una condición de ejecución entre la configuración de la sesión y ksmbd_sessions_deregister. La sesión puede liberarse antes de que la conexión se añada a la lista de canales de la sesión. Este parche comprueba el número de referencias de la sesión antes de liberarla.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: vimc: omite .s_stream() para entidades detenidas. Syzbot reportó [1] una advertencia generada por una comprobación en call_s_stream() que verifica si la operación de .s_stream() está justificada para subdesarrollos no iniciados o detenidos. Se ha añadido una solución sencilla en vimc_streamer_pipeline_terminate() que garantiza que las entidades omitan una llamada a .s_stream() a menos que se hayan iniciado correctamente previamente. [1] Informe de Syzbot: ------------[ cortar aquí ]------------ ADVERTENCIA: CPU: 0 PID: 5933 at drivers/media/v4l2-core/v4l2-subdev.c:460 call_s_stream+0x2df/0x350 drivers/media/v4l2-core/v4l2-subdev.c:460 Modules linked in: CPU: 0 UID: 0 PID: 5933 Comm: syz-executor330 Not tainted 6.13.0-rc2-syzkaller-00362-g2d8308bf5b67 #0 ... Call Trace: vimc_streamer_pipeline_terminate+0x218/0x320 drivers/media/test-drivers/vimc/vimc-streamer.c:62 vimc_streamer_pipeline_init drivers/media/test-drivers/vimc/vimc-streamer.c:101 [inline] vimc_streamer_s_stream+0x650/0x9a0 drivers/media/test-drivers/vimc/vimc-streamer.c:203 vimc_capture_start_streaming+0xa1/0x130 drivers/media/test-drivers/vimc/vimc-capture.c:256 vb2_start_streaming+0x15f/0x5a0 drivers/media/common/videobuf2/videobuf2-core.c:1789 vb2_core_streamon+0x2a7/0x450 drivers/media/common/videobuf2/videobuf2-core.c:2348 vb2_streamon drivers/media/common/videobuf2/videobuf2-v4l2.c:875 [inline] vb2_ioctl_streamon+0xf4/0x170 drivers/media/common/videobuf2/videobuf2-v4l2.c:1118 __video_do_ioctl+0xaf0/0xf00 drivers/media/v4l2-core/v4l2-ioctl.c:3122 video_usercopy+0x4d2/0x1620 drivers/media/v4l2-core/v4l2-ioctl.c:3463 v4l2_ioctl+0x1ba/0x250 drivers/media/v4l2-core/v4l2-dev.c:366 vfs_ioctl fs/ioctl.c:51 [inline] __do_sys_ioctl fs/ioctl.c:906 [inline] __se_sys_ioctl fs/ioctl.c:892 [inline] __x64_sys_ioctl+0x190/0x200 fs/ioctl.c:892 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x250 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f2b85c01b19 ...