Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tracing: Fix bad hist from corrupting named_triggers list Los siguientes comandos provocan un bloqueo: ~# cd /sys/kernel/tracing/events/rcu/rcu_callback ~# echo 'hist:name=bad:keys=common_pid:onmax(bogus).save(common_pid)' > trigger bash: echo: error de escritura: argumento no válido ~# echo 'hist:name=bad:keys=common_pid' > trigger Porque ocurre lo siguiente: event_trigger_write() { trigger_process_regex() { event_hist_trigger_parse() { data = event_trigger_alloc(..); event_trigger_register(.., data) { cmd_ops->reg(.., data, ..) [hist_register_trigger()] { data->ops->init() [event_hist_trigger_init()] { save_named_trigger(name, data) { list_add(&data->named_list, &named_triggers); } } } } ret = create_actions(); (return -EINVAL) if (ret) goto out_unreg; [..] ret = hist_trigger_enable(data, ...) { list_add_tail_rcu(&data->list, &file->triggers); <<<---- ¡¡¡SALTAR!!! (¡esto es importante!) [..] out_unreg: event_hist_unregister(.., data) { cmd_ops->unreg(.., data, ..) [hist_unregister_trigger()] { list_for_each_entry(iter, &file->triggers, list) { if (!hist_trigger_match(data, iter, named_data, false)) <- never matches continue; [..] test = iter; } if (test && test->ops->free) <<<-- test is NULL test->ops->free(test) [event_hist_trigger_free()] { [..] if (data->name) del_named_trigger(data) { list_del(&data->named_list); <<<<-- ¡NUNCA se elimina! } } } } [..] kfree(datos); <<<-- libera el elemento, pero sigue en la lista. La próxima vez que se registre un hist con nombre, se producirá un error de uaf y el kernel podría bloquearse. Desplace el código de forma que, si event_trigger_register() tiene éxito, se llame a hist_trigger_enable(), lo que lo añade a la lista. Se invocan varias acciones si get_named_trigger_data() devuelve falso. Sin embargo, no es necesario llamarlo después de event_trigger_register(), por lo que se puede adelantar, lo que permite llamar a event_trigger_register() justo antes de hist_trigger_enable(), manteniéndolos juntos y permitiendo que los disparadores de archivo se rellenen correctamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: caif_virtio: se corrige una comprobación incorrecta del puntero en cfv_probe() del_vqs() libera colas virtuales. Por lo tanto, se debe comprobar si el puntero cfv->vq_tx es nulo antes de llamarlo, no cfv->vdev. Además, la implementación actual es redundante porque se desreferencia el puntero cfv->vdev antes de comprobar si es nulo. Para solucionar esto, compruebe si el puntero cfv->vq_tx es nulo en lugar de cfv->vdev antes de llamar a del_vqs().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: iwlwifi: limitar la cadena impresa del archivo FW. No se garantiza que el archivo siempre tenga una terminación NUL, por lo que al leer la cadena, se podría leer más allá del final del TLV. Si ese es el último TLV del archivo, es posible que incluso pueda leer más allá del final del búfer del archivo. Para solucionar esto, limite el formato de impresión al tamaño del búfer disponible.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: enetc: Las funciones virtuales no admiten HWTSTAMP_TX_ONESTEP_SYNC. En realidad, las funciones virtuales de ENETC no admiten HWTSTAMP_TX_ONESTEP_SYNC porque solo la función de protección de ENETC puede acceder a los registros PMa_SINGLE_STEP. Se producirá un fallo si se utilizan funciones virtuales para probar la marca de tiempo de un paso. El registro de fallos es el siguiente. [ 129.110909] No se puede gestionar la solicitud de paginación del kernel en la dirección virtual 00000000000080c0 [ 129.287769] Rastreo de llamadas: [ 129.290219] enetc_port_mac_wr+0x30/0xec (P) [ 129.294504] enetc_start_xmit+0xda4/0xe74 [ 129.298525] enetc_xmit+0x70/0xec [ 129.301848] dev_hard_start_xmit+0x98/0x118

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/core: Ordenar la lista de PMU para corregir la advertencia sobre pmu_ctx_list desordenada Syskaller activa una advertencia debido a prev_epc->pmu != next_epc->pmu en perf_event_swap_task_ctx_data(). vmcore muestra que dos listas tienen el mismo perf_event_pmu_context, pero no en el mismo orden. El problema es que el orden de pmu_ctx_list para el padre se ve afectado por el momento en que se agrega un evento/PMU. Mientras que el orden para un hijo se ve afectado por el orden de los eventos en pinned_groups y flexible_groups. Por lo tanto, el orden de pmu_ctx_list en el padre y el hijo puede ser diferente. Para corregir este problema, inserte perf_event_pmu_context en su lugar correcto después de la iteración de pmu_ctx_list. El siguiente caso de prueba puede activar la advertencia anterior: # perf record -e cycles --call-graph lbr -- tasket -c 3 ./a.out & # perf stat -e cpu-clock,cs -p xxx // xxx es el pid de a.out test.c void main() { int count = 0; pid_t pid; printf("%d en ejecución\n", getpid()); sleep(30); printf("en ejecución\n"); pid = fork(); if (pid == -1) { printf("fork error\n"); return; } if (pid == 0) { while (1) { count++; } } else { while (1) { count++; } } } El caso de prueba primero abre un evento LBR, por lo que asignará task_ctx_data y luego abrirá los eventos de tracepoint y software, por lo que el contexto principal tendrá 3 perf_event_pmu_contexts diferentes. En caso de herencia, el ctx secundario insertará perf_event_pmu_context en otro orden y se activará la advertencia. [mingo: Se ordenó el registro de cambios.]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fuse: volver a __readahead_folio() para readahead. En el commit 3eab9d7bc2f4 ("fuse: convertir readahead para usar folios"), la lógica se convirtió para usar el nuevo código de readahead de folio, que elimina la referencia en el folio una vez bloqueado, usando una referencia inferida en el folio. Anteriormente, manteníamos una referencia en el folio durante toda la duración de la llamada a readpages. Esto es correcto, sin embargo, para el caso de las respuestas de la tubería de empalme donde eliminaremos el folio antiguo y empalmaremos en el nuevo folio (ver fuse_try_move_page()), asumimos que hay una referencia mantenida en el folio para ap->folios, lo cual ya no es el caso. Para solucionar esto, vuelva a __readahead_folio(), que nos permite mantener la referencia en el folio durante la lectura de páginas hasta que la eliminemos nosotros mismos en fuse_readpages_end() o hasta que se elimine tras ser reemplazada en la caché de páginas en el caso de empalme. Esto solucionará el error de UAF reportado.

Vulnerabilidad de Cross-Site Request Forgery (CSRF) en ProfitShare.ro. WP Profitshare permite XSS almacenado. Este problema afecta a WP Profitshare desde n/d hasta la versión 1.4.9.

La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Sami Ahmed Siddiqui JSON Structuring Markup permite XSS almacenado. Este problema afecta al marcado de estructuración JSON desde n/d hasta la versión 0.1.

Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en reputeinfosystems BookingPress permite la inyección SQL. Este problema afecta a BookingPress desde n/d hasta la versión 1.1.28.

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Mashi Simple Map No Api permite XSS almacenado. Este problema afecta a Simple Map No Api desde n/d hasta la versión 1.9.

Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Gosign Gosign – Posts Slider Block permite XSS almacenado. Este problema afecta a Gosign desde la versión n/d hasta la 1.1.0.

La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Themeum WP Crowdfunding permite XSS almacenado. Este problema afecta a WP Crowdfunding desde n/d hasta la versión 2.1.13.