Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fscache: Corregir ejecución de invalidación/búsqueda Si se abre un archivo NFS para escritura y se cierra, se le solicitará a fscache_invalidate() que invalide el archivo; sin embargo, si la cookie está en el estado LOOKING_UP (o el estado CREATING), entonces la solicitud de invalidación no se registra para que fscache_cookie_state_machine() haga algo con ella. Solucione esto haciendo que __fscache_invalidate() establezca una bandera si ve que la cookie está en el estado LOOKING_UP para indicar que debemos ir a la invalidación. Tenga en cuenta que esto requiere un recuento en el contador n_accesses para la máquina de estado, que se liberará cuando haya terminado. fscache_cookie_state_machine() luego cambia al estado INVALIDATING si ve la bandera. Sin esto, un archivo nfs puede dañarse si se modifica localmente y luego se lee localmente, ya que el contenido de la memoria caché podría no actualizarse.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ARM: meson: Se corrige la pérdida de recuento de referencias en meson_smp_prepare_cpus of_find_compatible_node() devuelve un puntero de nodo con el recuento de referencias incrementado; cuando termine, debemos usar of_node_put() en él. Agregue el error of_node_put() faltante para evitar la pérdida de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: se corrige la pérdida de memoria en caso de error. usbnet_write_cmd_async() confundía qué búferes se debían liberar en qué caso de error. v2: se agregó la etiqueta Fixes. v3: se corrige el puntero de buf no inicializado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Se corrige la propagación insuficiente de los límites desde adjust_scalar_min_max_vals Kuee informó de un caso extremo en el que el tnum se vuelve constante después de la llamada a __reg_bound_offset(), pero los límites del registro no lo son, es decir, sus límites mínimos siguen sin ser iguales a los límites máximos del registro. Esto, a su vez, permite filtrar punteros al convertir un registro de puntero tal como está en un escalar desconocido mediante adjust_ptr_min_max_vals(). Before: func#0 @0 0: R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 0: (b7) r0 = 1 ; R0_w=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) 1: (b7) r3 = 0 ; R3_w=scalar(imm=0,umax=0,var_off=(0x0; 0x0)) 2: (87) r3 = -r3 ; R3_w=scalar() 3: (87) r3 = -r3 ; R3_w=scalar() 4: (47) r3 |= 32767 ; R3_w=scalar(smin=-9223372036854743041,umin=32767,var_off=(0x7fff; 0xffffffffffff8000),s32_min=-2147450881) 5: (75) if r3 s>= 0x0 goto pc+1 ; R3_w=scalar(umin=9223372036854808575,var_off=(0x8000000000007fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 6: (95) exit from 5 to 7: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 7: (d5) if r3 s<= 0x8000 goto pc+1 ; R3=scalar(umin=32769,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 8: (95) exit from 7 to 9: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=32768,var_off=(0x7fff; 0x8000)) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 9: (07) r3 += -32767 ; R3_w=scalar(imm=0,umax=1,var_off=(0x0; 0x0)) <--- [*] 10: (95) exit What can be seen here is that R3=scalar(umin=32767,umax=32768,var_off=(0x7fff; 0x8000)) after the operation R3 += -32767 results in a 'malformed' constant, that is, R3_w=scalar(imm=0,umax=1,var_off=(0x0; 0x0)). Intersecting with var_off has not been done at that point via __update_reg_bounds(), which would have improved the umax to be equal to umin. Refactor the tnum <> min/max bounds information flow into a reg_bounds_sync() helper and use it consistently everywhere. After the fix, bounds have been corrected to R3_w=scalar(imm=0,umax=0,var_off=(0x0; 0x0)) and thus the register is regarded as a 'proper' constant scalar of 0. After: func#0 @0 0: R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 0: (b7) r0 = 1 ; R0_w=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) 1: (b7) r3 = 0 ; R3_w=scalar(imm=0,umax=0,var_off=(0x0; 0x0)) 2: (87) r3 = -r3 ; R3_w=scalar() 3: (87) r3 = -r3 ; R3_w=scalar() 4: (47) r3 |= 32767 ; R3_w=scalar(smin=-9223372036854743041,umin=32767,var_off=(0x7fff; 0xffffffffffff8000),s32_min=-2147450881) 5: (75) if r3 s>= 0x0 goto pc+1 ; R3_w=scalar(umin=9223372036854808575,var_off=(0x8000000000007fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 6: (95) exit from 5 to 7: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 7: (d5) if r3 s<= 0x8000 goto pc+1 ; R3=scalar(umin=32769,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 8: (95) exit from 7 to 9: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=32768,var_off=(0x7fff; 0x8000)) R10=fp(off=0 ---truncated---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: m_can: m_can_{read_fifo,echo_tx_event}(): cambiar la marca de tiempo a 32 bits completos En el commit 1be37d3b0414 ("can: m_can: corregir la ruta RX de los periféricos: usar rx-offload para garantizar que los skbs se envíen desde el contexto de softirq"), la ruta RX para los dispositivos periféricos se cambió a RX-offload. Los marcos CAN recibidos se envían a RX-offload junto con una marca de tiempo. RX-offload está diseñado para gestionar desbordamientos de la marca de tiempo correctamente, si se proporcionan marcas de tiempo de 32 bits. Las marcas de tiempo del núcleo m_can tienen solo 16 bits de ancho. Por lo tanto, este parche las cambia a 32 bits completos antes de pasarlas a RX-offload.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: icmp: se han corregido las ejecuciones de datos en torno a sysctl. Al leer las variables sysctl de icmp, estas pueden modificarse simultáneamente. Por lo tanto, debemos agregar READ_ONCE() para evitar las ejecuciones de datos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cipso: Se corrigen las ejecuciones de datos en torno a sysctl. Al leer las variables sysctl de cipso, estas pueden modificarse simultáneamente. Por lo tanto, debemos agregar READ_ONCE() para evitar las ejecuciones de datos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sysctl: Se corrigen las ejecuciones de datos en proc_douintvec_minmax(). Se accede a una variable sysctl de forma concurrente y siempre existe la posibilidad de una ejecución de datos. Por lo tanto, todos los lectores y escritores necesitan una protección básica para evitar la rotura de la carga o el almacenamiento. Este parche cambia proc_douintvec_minmax() para que utilice READ_ONCE() y WRITE_ONCE() internamente para corregir las ejecuciones de datos en el lado de sysctl. Por ahora, proc_douintvec_minmax() en sí es tolerante a una ejecución de datos, pero aún necesitamos agregar anotaciones en el lado del otro subsistema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sysctl: Se corrigen las ejecuciones de datos en proc_douintvec(). Se accede a una variable sysctl de forma concurrente y siempre existe la posibilidad de una ejecución de datos. Por lo tanto, todos los lectores y escritores necesitan una protección básica para evitar la rotura de la carga o el almacenamiento. Este parche cambia proc_douintvec() para que utilice READ_ONCE() y WRITE_ONCE() internamente para corregir las ejecuciones de datos en el lado de sysctl. Por ahora, proc_douintvec() en sí es tolerante a una ejecución de datos, pero aún necesitamos agregar anotaciones en el lado del otro subsistema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: stmmac: dwc-qos: Deshabilitar encabezado dividido para Tegra194 Hay un problema de larga data con el controlador Ethernet Synopsys DWC para Tegra194 donde se han observado fallas aleatorias del sistema [0]. El problema ocurre cuando la función de encabezado dividido está habilitada en el controlador stmmac. En el mal caso, se recibe una longitud de búfer mayor a la esperada y hace que el cálculo de la longitud total del búfer se desborde. Esto da como resultado una longitud de búfer muy grande que hace que el kernel se bloquee. No está claro por qué se recibe esta longitud de búfer mayor, sin embargo, la retroalimentación del equipo de diseño de NVIDIA es que la función de encabezado dividido no es compatible con Tegra194. Por lo tanto, deshabilite la compatibilidad con encabezado dividido para Tegra194 para evitar que ocurran estas fallas aleatorias. [0] https://lore.kernel.org/linux-tegra/b0b17697-f23e-8fa5-3757-604a86f3a095@nvidia.com/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ima: Se corrige un posible desbordamiento de enteros en ima_appraise_measurement Cuando ima-modsig está habilitado, el rc pasado a evm_verifyxattr() puede ser negativo, lo que puede causar el problema de desbordamiento de enteros.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915: se corrige una posible pérdida de recuento de referencias en intel_dp_add_mst_connector(). Si drm_connector_init falla, se llamará a intel_connector_free para encargarse de la liberación adecuada. Por lo tanto, es necesario eliminar el recuento de referencias del puerto antes de intel_connector_free. (seleccionado de el commit cea9ed611e85d36a05db52b6457bf584b7d969e2)