Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915/gt: El uso de spin_lock_irqsave() en un contexto interrumpible. Las funciones spin_lock/unlock() utilizadas en contextos de interrupción podrían provocar un interbloqueo, como se observó en el problema n.° 13399 de GitLab, que ocurre cuando la interrupción entra mientras se mantiene un bloqueo. Intente solucionar el problema guardando el estado de las irq antes de adquirir el bloqueo de giro. v2: añadir llamadas de guardado/restauración de estado de las irq a todos los bloqueos/desbloqueos en la ejecución de signal_irq_work() (Maciej). v3: usar con spin_lock_irqsave() en guc_lrc_desc_unpin() en lugar de otras llamadas de bloqueo/desbloqueo y añadir las etiquetas "Fixes" y "Cc" (Tvrtko); cambiar el título y el mensaje de confirmación (seleccionado del commit c088387ddd6482b40f21ccf23db1125e8fa4af7e).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvmet: corrige el fallo cuando se deshabilita un espacio de nombres. El contador por CPU del espacio de nombres protege la E/S pendiente y solo podemos deshabilitar de forma segura el espacio de nombres una vez que el contador cae a cero. De lo contrario, terminamos con un bloqueo al ejecutar blktests/nvme/058 (por ejemplo, para el transporte de bucle): [2352.930426] [T53909] Ups: error de protección general, probablemente para la dirección no canónica 0xdffffc0000000005: 0000 [#1] PREEMPT SMP KASAN PTI [2352.930431] [T53909] KASAN: null-ptr-deref en el rango [0x0000000000000028-0x000000000000002f] [2352.930434] [T53909] CPU: 3 UID: 0 PID: 53909 Comm: kworker/u16:5 Tainted: GW 6.13.0-rc6 #232 [ 2352.930438] [ T53909] Contaminado: [W]=WARN [ 2352.930440] [ T53909] Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.3-3.fc41 01/04/2014 [ 2352.930443] [ T53909] Cola de trabajo: nvmet-wq nvme_loop_execute_work [nvme_loop] [ 2352.930449] [ T53909] RIP: 0010:blkcg_set_ioprio+0x44/0x180 ya que la cola ya está desactivada al llamar a submit_bio(); Entonces, necesitamos inicializar el contador por CPU en nvmet_ns_enable() y esperar hasta que caiga a cero en nvmet_ns_disable() para evitar tener E/S pendiente después de que se haya deshabilitado el espacio de nombres.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Arregla el bloqueo suave en arena_map_free en un kernel de página de 64k En un kernel aarch64 con CONFIG_PAGE_SIZE_64KB=y, las pruebas arena_htab causan un fallo de segmentación y un bloqueo suave. No se observa el mismo fallo con páginas de 4k en aarch64. Resulta que arena_map_free() está llamando a apply_to_existing_page_range() con la dirección devuelta por bpf_arena_get_kern_vm_start(). Si esta dirección no está alineada con la página, el código termina llamando a apply_to_pte_range() con esa dirección no alineada, lo que causa un bloqueo suave. Arréglelo redondeando GUARD_SZ a PAGE_SIZE << 1 para que la división por 2 en bpf_arena_get_kern_vm_start() devuelva un valor alineado con la página.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: Add rx_skb of kfree_skb to raw_tp_null_args[]. Yan Zhai reported a BPF prog could trigger a null-ptr-deref [0] in trace_kfree_skb if the prog does not check if rx_sk is NULL. Commit c53795d48ee8 ("net: add rx_sk to trace_kfree_skb") added rx_sk to trace_kfree_skb, but rx_sk is optional and could be NULL. Let's add kfree_skb to raw_tp_null_args[] to let the BPF verifier validate such a prog and prevent the issue. Now we fail to load such a prog: libbpf: prog 'drop': -- BEGIN PROG LOAD LOG -- 0: R1=ctx() R10=fp0 ; int BPF_PROG(drop, struct sk_buff *skb, void *location, @ kfree_skb_sk_null.bpf.c:21 0: (79) r3 = *(u64 *)(r1 +24) func 'kfree_skb' arg3 has btf_id 5253 type STRUCT 'sock' 1: R1=ctx() R3_w=trusted_ptr_or_null_sock(id=1) ; bpf_printk("sk: %d, %d\n", sk, sk->__sk_common.skc_family); @ kfree_skb_sk_null.bpf.c:24 1: (69) r4 = *(u16 *)(r3 +16) R3 invalid mem access 'trusted_ptr_or_null_' processed 2 insns (limit 1000000) max_states_per_insn 0 total_states 0 peak_states 0 mark_read 0 -- END PROG LOAD LOG -- Note this fix requires commit 838a10bd2ebf ("bpf: Augment raw_tp arguments with PTR_MAYBE_NULL"). [0]: BUG: kernel NULL pointer dereference, address: 0000000000000010 PF: supervisor read access in kernel mode PF: error_code(0x0000) - not-present page PGD 0 P4D 0 PREEMPT SMP RIP: 0010:bpf_prog_5e21a6db8fcff1aa_drop+0x10/0x2d Call Trace: ? __die+0x1f/0x60 ? page_fault_oops+0x148/0x420 ? search_bpf_extables+0x5b/0x70 ? fixup_exception+0x27/0x2c0 ? exc_page_fault+0x75/0x170 ? asm_exc_page_fault+0x22/0x30 ? bpf_prog_5e21a6db8fcff1aa_drop+0x10/0x2d bpf_trace_run4+0x68/0xd0 ? unix_stream_connect+0x1f4/0x6f0 sk_skb_reason_drop+0x90/0x120 unix_stream_connect+0x1f4/0x6f0 __sys_connect+0x7f/0xb0 __x64_sys_connect+0x14/0x20 do_syscall_64+0x47/0xc30 entry_SYSCALL_64_after_hwframe+0x4b/0x53

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfp: bpf: Agregar verificación para nfp_app_ctrl_msg_alloc() Agregar verificación para el valor de retorno de nfp_app_ctrl_msg_alloc() en nfp_bpf_cmsg_alloc() para evitar la desreferencia del puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Corrección de interbloqueo al liberar almacenamiento de cgroup. El siguiente commit bc235cdb423a ("bpf: Prevenir interbloqueo desde bpf_task_storage_[get|delete] recursivo") introdujo por primera vez la prevención de interbloqueo para programas fentry/fexit que se conectaban a los ayudantes bpf_task_storage. Este commit también empleó la lógica de map free path en su versión v6. Más tarde, bpf_cgrp_storage se introdujo por primera vez en c4bcfb38a95e ("bpf: Implementar almacenamiento cgroup disponible para programas bpf no adjuntos a cgroup") que enfrenta el mismo problema que bpf_task_storage, en lugar de su contador de ocupación, se pasó NULL a bpf_local_storage_map_free() que abrió una ventana para causar un bloqueo: (acquiring local_storage->lock) _raw_spin_lock_irqsave+0x3d/0x50 bpf_local_storage_update+0xd1/0x460 bpf_cgrp_storage_get+0x109/0x130 bpf_prog_a4d4a370ba857314_cgrp_ptr+0x139/0x170 ? __bpf_prog_enter_recur+0x16/0x80 bpf_trampoline_6442485186+0x43/0xa4 cgroup_storage_ptr+0x9/0x20 (manteniendo el bloqueo de almacenamiento local) bpf_selem_unlink_storage_nolock.constprop.0+0x135/0x160 bpf_selem_unlink_storage+0x6f/0x110 bpf_local_storage_map_free+0xa2/0x110 bpf_map_free_deferred+0x5b/0x90 process_one_work+0x17c/0x390 subproceso de trabajo+0x251/0x360 kthread+0xd2/0x100 ret_from_fork+0x34/0x50 ret_from_fork_asm+0x1a/0x30 Programas: - A: SEC("fentry/cgroup_storage_ptr") - cgid (BPF_MAP_TYPE_HASH) Registra el ID del grupo de control al que pertenece la tarea actual en este mapa hash, utilizando la dirección del grupo de control como clave del mapa. - cgrpa (BPF_MAP_TYPE_CGRP_STORAGE) Si la tarea actual es un kworker, busca el mapa hash anterior utilizando el parámetro de función @owner como clave para obtener su ID de grupo de control correspondiente, que luego se utiliza para obtener un puntero confiable al grupo de control mediante bpf_cgroup_from_id(). Este puntero confiable se puede pasar a bpf_cgrp_storage_get() para finalmente activar el problema de interbloqueo. - B: SEC("tp_btf/sys_enter") - cgrpb (BPF_MAP_TYPE_CGRP_STORAGE). El único propósito de este programa es llenar el mapa hash del Programa A llamando a bpf_cgrp_storage_get() para tantas tareas de espacio de usuario como sea posible. Pasos para reproducir: - Ejecutar A; - while (true) { Ejecutar B; Destruir B; }. Solucione este problema pasando su contador de ocupación al procedimiento libre para que pueda incrementarse correctamente antes del bloqueo de almacenamiento/smap.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: se corrige la doble ejecución de contabilidad cuando btrfs_run_delalloc_range() falla [ERROR] Al ejecutar btrfs con un tamaño de bloque (4K) menor que el tamaño de página (64K, aarch64), hay una gran posibilidad de que se bloquee el kernel en generic/750, con los siguientes mensajes: (antes de los seguimientos de llamadas, se agregan 3 mensajes de depuración adicionales) Advertencia de BTRFS (dispositivo dm-3): lectura y escritura para tamaño de sector 4096 con tamaño de página 65536 es experimental Información de BTRFS (dispositivo dm-3): comprobando árbol UUID hrtimer: la interrupción tomó 5451385 ns Error de BTRFS (dispositivo dm-3): cow_file_range falló, root=4957 inode=257 start=1605632 len=69632: -28 Error de BTRFS (dispositivo dm-3): run_delalloc_nocow falló, raíz=4957 inodo=257 inicio=1605632 len=69632: -28 Error de BTRFS (dispositivo dm-3): no se pudo ejecutar el rango delalloc, raíz=4957 ino=257 folio=1572864 submit_bitmap=8-15 inicio=1605632 len=69632: -28 ------------[ cortar aquí ]------------ ADVERTENCIA: CPU: 2 PID: 3020984 at ordered-data.c:360 can_finish_ordered_extent+0x370/0x3b8 [btrfs] CPU: 2 UID: 0 PID: 3020984 Comm: kworker/u24:1 Tainted: G OE 6.13.0-rc1-custom+ #89 Tainted: [O]=OOT_MODULE, [E]=UNSIGNED_MODULE Hardware name: QEMU KVM Virtual Machine, BIOS unknown 2/2/2022 Workqueue: events_unbound btrfs_async_reclaim_data_space [btrfs] pc : can_finish_ordered_extent+0x370/0x3b8 [btrfs] lr : can_finish_ordered_extent+0x1ec/0x3b8 [btrfs] Call trace: can_finish_ordered_extent+0x370/0x3b8 [btrfs] (P) can_finish_ordered_extent+0x1ec/0x3b8 [btrfs] (L) btrfs_mark_ordered_io_finished+0x130/0x2b8 [btrfs] extent_writepage+0x10c/0x3b8 [btrfs] extent_write_cache_pages+0x21c/0x4e8 [btrfs] btrfs_writepages+0x94/0x160 [btrfs] do_writepages+0x74/0x190 filemap_fdatawrite_wbc+0x74/0xa0 start_delalloc_inodes+0x17c/0x3b0 [btrfs] btrfs_start_delalloc_roots+0x17c/0x288 [btrfs] shrink_delalloc+0x11c/0x280 [btrfs] flush_space+0x288/0x328 [btrfs] btrfs_async_reclaim_data_space+0x180/0x228 [btrfs] process_one_work+0x228/0x680 worker_thread+0x1bc/0x360 kthread+0x100/0x118 ret_from_fork+0x10/0x20 ---[ end trace 0000000000000000 ]--- BTRFS critical (device dm-3): bad ordered extent accounting, root=4957 ino=257 OE offset=1605632 OE len=16384 to_dec=16384 left=0 BTRFS critical (device dm-3): bad ordered extent accounting, root=4957 ino=257 OE offset=1622016 OE len=12288 to_dec=12288 left=0 Unable to handle kernel NULL pointer dereference at virtual address 0000000000000008 BTRFS critical (device dm-3): bad ordered extent accounting, root=4957 ino=257 OE offset=1634304 OE len=8192 to_dec=4096 left=0 CPU: 1 UID: 0 PID: 3286940 Comm: kworker/u24:3 Tainted: G W OE 6.13.0-rc1-custom+ #89 Hardware name: QEMU KVM Virtual Machine, BIOS unknown 2/2/2022 Workqueue: btrfs_work_helper [btrfs] (btrfs-endio-write) pstate: 404000c5 (nZcv daIF +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : process_one_work+0x110/0x680 lr : worker_thread+0x1bc/0x360 Call trace: process_one_work+0x110/0x680 (P) worker_thread+0x1bc/0x360 (L) worker_thread+0x1bc/0x360 kthread+0x100/0x118 ret_from_fork+0x10/0x20 Code: f84086a1 f9000fe1 53041c21 b9003361 (f9400661) ---[ end trace 0000000000000000 ]--- Kernel panic - not syncing: Oops: Fatal exception SMP: stopping secondary CPUs SMP: failed to stop secondary CPUs 2-3 Dumping ftrace buffer: (ftrace buffer empty) Kernel Offset: 0x275bb9540000 from 0xffff800080000000 PHYS_OFFSET: 0xffff8fbba0000000 CPU features: 0x100,00000070,00801250,8201720b [CAUSE] The above warning is triggered immediately after the delalloc range failure, this happens in the following sequence: - Range [1568K, 1636K) is dirty 1536K 1568K 1600K 1636K 1664K | |/////////|////////| | Where 1536K, 1600K and 1664K are page boundaries (64K page size) - Enter extent_writepage() for page 1536K - Enter run_delalloc_nocow() with locke ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mtd: spi-nor: sst: Se corrige el error de escritura en SST «commit 18bcb4aa54ea ("mtd: spi-nor: sst: Factorizar la operación de escritura común a `sst_nor_write_data()`")», que introdujo un error donde solo se escribe un byte de datos, independientemente del número de bytes pasados a sst_nor_write_data(), lo que provoca un fallo del kernel durante la operación de escritura. Asegúrese de que se escriba el número correcto de bytes al pasar a sst_nor_write_data(). Rastreo de llamada: [ 57.400180] ------------[ cortar aquí ]------------ [ 57.404842] Mientras se escribían 2 bytes, se escribió 1 byte [ 57.409493] ADVERTENCIA: CPU: 0 PID: 737 at drivers/mtd/spi-nor/sst.c:187 sst_nor_write_data+0x6c/0x74 [ 57.418464] Modules linked in: [ 57.421517] CPU: 0 UID: 0 PID: 737 Comm: mtd_debug Not tainted 6.12.0-g5ad04afd91f9 #30 [ 57.429517] Hardware name: Xilinx Versal A2197 Processor board revA - x-prc-02 revA (DT) [ 57.437600] pstate: 60000005 (nZCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 57.444557] pc : sst_nor_write_data+0x6c/0x74 [ 57.448911] lr : sst_nor_write_data+0x6c/0x74 [ 57.453264] sp : ffff80008232bb40 [ 57.456570] x29: ffff80008232bb40 x28: 0000000000010000 x27: 0000000000000001 [ 57.463708] x26: 000000000000ffff x25: 0000000000000000 x24: 0000000000000000 [ 57.470843] x23: 0000000000010000 x22: ffff80008232bbf0 x21: ffff000816230000 [ 57.477978] x20: ffff0008056c0080 x19: 0000000000000002 x18: 0000000000000006 [ 57.485112] x17: 0000000000000000 x16: 0000000000000000 x15: ffff80008232b580 [ 57.492246] x14: 0000000000000000 x13: ffff8000816d1530 x12: 00000000000004a4 [ 57.499380] x11: 000000000000018c x10: ffff8000816fd530 x9 : ffff8000816d1530 [ 57.506515] x8 : 00000000fffff7ff x7 : ffff8000816fd530 x6 : 0000000000000001 [ 57.513649] x5 : 0000000000000000 x4 : 0000000000000000 x3 : 0000000000000000 [ 57.520782] x2 : 0000000000000000 x1 : 0000000000000000 x0 : ffff0008049b0000 [ 57.527916] Call trace: [ 57.530354] sst_nor_write_data+0x6c/0x74 [ 57.534361] sst_nor_write+0xb4/0x18c [ 57.538019] mtd_write_oob_std+0x7c/0x88 [ 57.541941] mtd_write_oob+0x70/0xbc [ 57.545511] mtd_write+0x68/0xa8 [ 57.548733] mtdchar_write+0x10c/0x290 [ 57.552477] vfs_write+0xb4/0x3a8 [ 57.555791] ksys_write+0x74/0x10c [ 57.559189] __arm64_sys_write+0x1c/0x28 [ 57.563109] invoke_syscall+0x54/0x11c [ 57.566856] el0_svc_common.constprop.0+0xc0/0xe0 [ 57.571557] do_el0_svc+0x1c/0x28 [ 57.574868] el0_svc+0x30/0xcc [ 57.577921] el0t_64_sync_handler+0x120/0x12c [ 57.582276] el0t_64_sync+0x190/0x194 [ 57.585933] ---[ end trace 0000000000000000 ]--- [pratyush@kernel.org: add Cc stable tag]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: smb: cliente: Agregar verificación para next_buffer en receive_encrypted_standard() Agregar verificación para el valor de retorno de cifs_buf_get() y cifs_small_buf_get() en receive_encrypted_standard() para evitar la desreferencia del puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: acct: realizar la última escritura desde workqueue En [1] se informó que la llamada al sistema acct(2) se puede usar para activar una desreferencia NULL en los casos en que está configurada para escribir en un archivo que activa una búsqueda interna. Esto puede ocurrir, por ejemplo, al apuntar acc(2) a /sys/power/resume. En el punto donde ocurre la escritura en este archivo, la tarea que realiza la llamada ya ha salido y ha llamado a exit_fs(). Por lo tanto, una búsqueda activará una desreferencia NULL al acceder a current->fs. Reorganice el código para que la escritura final ocurra desde workqueue pero con las credenciales del llamador. Esto preserva el (extraño) modelo de permisos y casi no tiene riesgo de regresión. Sin embargo, esta API debería dejar de existir.

El complemento Workreap para WordPress es vulnerable a la escalada de privilegios mediante robo de cuenta en todas las versiones hasta la 3.2.5 incluida. Esto se debe a que el complemento no valida correctamente la identidad del usuario antes de (1) iniciar sesión automáticamente con redes sociales o (2) actualizar su perfil (por ejemplo, su contraseña). Esto permite a atacantes no autenticados (1) iniciar sesión con un usuario cualquiera si se conoce su dirección de correo electrónico o (2) cambiar la contraseña de un usuario cualquiera, incluyendo la de administradores, y aprovecharse de ello para acceder a su cuenta. NOTA: Esta vulnerabilidad se corrigió parcialmente en la versión 3.2.5.

El complemento Page Builder: Pagelayer – Drag and Drop website builder para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 1.9.8 incluida, a través de la función 'pagelayer_builder_posts_shortcode', debido a restricciones insuficientes sobre qué publicaciones se pueden incluir. Esto permite que atacantes autenticados, con acceso de colaborador o superior, extraigan datos de publicaciones privadas a las que no deberían tener acceso.