Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: comprobar el denominador crb_pipes antes de usarlo [QUÉ Y CÓMO] Un denominador no puede ser 0 y se comprueba antes de usarlo. Esto soluciona 2 problemas de DIVIDE_BY_ZERO informados por Coverity.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/rtas: Impedir la construcción del gadget Spectre v1 en sys_rtas() Smatch advierte: arch/powerpc/kernel/rtas.c:1932 __do_sys_rtas() advierte: posible problema de Spectre 'args.args' [r] (cap local) Las variables locales 'nargs' y 'nret' provienen directamente de un búfer proporcionado por el usuario y se usan como índices en una pequeña matriz basada en pila y como entradas para copy_to_user() después de que estén sujetas a verificaciones de límites. Utilice array_index_nospec() después de las verificaciones de límites para fijar estos valores para la ejecución especulativa.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: bcm: Eliminar entrada proc cuando dev no está registrado. syzkaller informó una advertencia en bcm_connect() a continuación. [0] La repro llama a connect() a vxcan1, elimina vxcan1 y llama a connect() con ifindex == 0. Llamar a connect() para un socket BCM asigna una entrada proc. Luego, bcm_sk(sk)->bound se establece en 1 para evitar más connect(). Sin embargo, eliminar el dispositivo vinculado restablece bcm_sk(sk)->bound a 0 en bcm_notify(). El segundo connect() intenta asignar una entrada proc con el mismo nombre y establece NULL en bcm_sk(sk)->bcm_proc_read, filtrando la entrada proc original. Dado que la entrada proc solo está disponible para sockets conectados, limpiemos la entrada cuando el netdev vinculado no esté registrado. [0]: proc_dir_entry 'can-bcm/2456' ya está registrado ADVERTENCIA: CPU: 1 PID: 394 en fs/proc/generic.c:376 proc_register+0x645/0x8f0 fs/proc/generic.c:375 Módulos vinculados en: CPU: 1 PID: 394 Comm: syz-executor403 No contaminado 6.10.0-rc7-g852e42cc2dd4 Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org 04/01/2014 RIP: 0010:proc_register+0x645/0x8f0 fs/proc/generic.c:375 Código: 00 00 00 00 00 48 85 ed 0f 85 97 02 00 00 4d 85 f6 0f 85 9f 02 00 00 48 c7 c7 9b cb cf 87 48 89 de 4c 89 fa e8 1c 6f eb fe 90 <0f> 0b 90 90 48 c7 c7 98 37 99 89 e8 cb 7e 22 05 bb 00 00 00 10 48 RSP: 0018:ffa0000000cd7c30 EFLAGS: 00010246 RAX: 9e129be1950f0200 RBX: ff1100011b51582c RCX: ff1100011857cd80 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 0000000000000002 RBP: 0000000000000000 R08: ffd400000000000f R09: ff1100013e78cac0 R10: ffac800000cd7980 R11: ff1100013e12b1f0 R12: 0000000000000000 R13: 0000000000000000 R14: 0000000000000000 R15: ff1100011a99a2ec FS: 00007fbd7086f740(0000) GS:ff1100013fd00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00000000200071c0 CR3: 0000000118556004 CR4: 0000000000771ef0 DR0: 0000000000000000 DR1: 00000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe07f0 DR7: 0000000000000400 PKRU: 55555554 Seguimiento de llamadas: proc_create_net_single+0x144/0x210 fs/proc/proc_net.c:220 bcm_connect+0x472/0x840 net/can/bcm.c:1673 __sys_connect_file net/socket.c:2049 [en línea] __sys_connect+0x5d2/0x690 net/socket.c:2066 __do_sys_connect net/socket.c:2076 [en línea] __se_sys_connect net/socket.c:2073 [en línea] __x64_sys_connect+0x8f/0x100 net/socket.c:2073 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xd9/0x1c0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x4b/0x53 RIP: 0033:0x7fbd708b0e5d Código: ff c3 66 2e 0f 1f 84 00 00 00 00 00 90 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 73 9f 1b 00 f7 d8 64 89 01 48 RSP: 002b:00007fff8cd33f08 EFLAGS: 00000246 ORIG_RAX: 000000000000002a RAX: ffffffffffffffda RBX: 0000000000000003 RCX: 00007fbd708b0e5d RDX: 0000000000000010 RSI: 0000000020000040 RDI: 0000000000000003 RBP: 0000000000000000 R08: 0000000000000040 R09: 0000000000000040 R10: 0000000000000040 R11: 0000000000000246 R12: 00007fff8cd34098 R13: 0000000000401280 R14: 0000000000406de8 R15: 00007fbd70ab9000 remove_proc_entry: elimina el directorio no vacío 'net/can-bcm', filtrando al menos '2456'

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: comprobar el denominador pbn_div antes de usarlo [QUÉ Y CÓMO] Un denominador no puede ser 0 y se comprueba antes de usarlo. Esto soluciona un problema DIVIDE_BY_ZERO informado por Coverity.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: udf: evitar particiones de longitud excesiva Evite montar sistemas de archivos en los que la partición supere los 32 bits utilizados para el número de bloque. También rehúse montar sistemas de archivos en los que la longitud de la partición sea tan grande que no podamos indexar bits de forma segura en un mapa de bits de bloques.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nilfs2: protege las referencias a los parámetros de superbloque expuestos en sysfs Los búferes de superbloque de nilfs2 no solo se pueden sobrescribir en tiempo de ejecución para modificaciones/reparaciones, sino que también se intercambian regularmente, se reemplazan durante el cambio de tamaño e incluso se abandonan cuando se degradan a un lado debido a problemas con el dispositivo de respaldo. Por lo tanto, acceder a ellos requiere exclusión mutua utilizando el semáforo de lectura/escritura "nilfs->ns_sem". Algunos métodos de demostración del atributo sysfs leen este búfer de superbloque sin la exclusión mutua necesaria, lo que puede causar problemas con la desreferenciación de punteros y el acceso a la memoria, así que arréglelo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nilfs2: se corrige el error de limpieza faltante en la recuperación de avance En una prueba de inyección de errores de una rutina para la recuperación en tiempo de montaje, KASAN encontró un error de use after free. Resultó que si la recuperación de datos se realizaba utilizando registros parciales creados por escrituras dsync, pero se producía un error antes de iniciar el escritor de registros para crear un punto de control recuperado, los inodos cuyos datos se habían recuperado se dejaban en la lista ns_dirty_files del objeto nilfs y no se liberaban. Solucione este problema limpiando los inodos que han leído los datos de recuperación si la rutina de recuperación falla a mitad de camino antes de que se inicie el escritor de registros.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ila: llamar a nf_unregister_net_hooks() antes de que syzbot encuentre una lectura de uso posterior a la liberación en ila_nf_input [1] El problema aquí es que ila_xlat_exit_net() libera la tabla rhash y luego llama a nf_unregister_net_hooks(). Debería hacerse de forma inversa, con unsynchronous_rcu(). Esta es una buena combinación para un método pre_exit(). [1] ERROR: KASAN: use after free en rht_key_hashfn include/linux/rhashtable.h:159 [en línea] ERROR: KASAN: use after free en __rhashtable_lookup include/linux/rhashtable.h:604 [en línea] ERROR: KASAN: use after free en rhashtable_lookup include/linux/rhashtable.h:646 [en línea] ERROR: KASAN: use after free en rhashtable_lookup_fast+0x77a/0x9b0 include/linux/rhashtable.h:672 Lectura de tamaño 4 en la dirección ffff888064620008 por la tarea ksoftirqd/0/16 CPU: 0 UID: 0 PID: 16 Comm: ksoftirqd/0 No contaminado 6.11.0-rc4-syzkaller-00238-g2ad6d23f465a #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 08/06/2024 Seguimiento de llamadas: __dump_stack lib/dump_stack.c:93 [en línea] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:119 print_address_description mm/kasan/report.c:377 [en línea] print_report+0x169/0x550 mm/kasan/report.c:488 kasan_report+0x143/0x180 mm/kasan/report.c:601 rht_key_hashfn include/linux/rhashtable.h:159 [en línea] __rhashtable_lookup include/linux/rhashtable.h:604 [en línea] rhashtable_lookup include/linux/rhashtable.h:646 [en línea] rhashtable_lookup_fast+0x77a/0x9b0 include/linux/rhashtable.h:672 ila_lookup_wildcards net/ipv6/ila/ila_xlat.c:132 [en línea] ila_xlat_addr net/ipv6/ila/ila_xlat.c:652 [en línea] ila_nf_input+0x1fe/0x3c0 net/ipv6/ila/ila_xlat.c:190 nf_hook_entry_hookfn include/linux/netfilter.h:154 [en línea] nf_hook_slow+0xc3/0x220 net/netfilter/core.c:626 nf_hook include/linux/netfilter.h:269 [en línea] NF_HOOK+0x29e/0x450 include/linux/netfilter.h:312 __netif_receive_skb_one_core net/core/dev.c:5661 [en línea] __netif_receive_skb+0x1ea/0x650 net/core/dev.c:5775 process_backlog+0x662/0x15b0 net/core/dev.c:6108 __napi_poll+0xcb/0x490 net/core/dev.c:6772 napi_poll net/core/dev.c:6841 [en línea] net_rx_action+0x89b/0x1240 net/core/dev.c:6963 handle_softirqs+0x2c4/0x970 kernel/softirq.c:554 run_ksoftirqd+0xca/0x130 kernel/softirq.c:928 smpboot_thread_fn+0x544/0xa30 kernel/smpboot.c:164 kthread+0x2f0/0x390 kernel/kthread.c:389 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 La dirección con errores pertenece a la página física: page: refcount:0 mapcount:0 mapping:0000000000000000 índice:0x0 pfn:0x64620 indicadores: 0xfff00000000000(nodo=0|zona=1|lastcpupid=0x7ff) tipo_página: 0xbfffffff(amigo) sin procesar: 00fff00000000000 ffffea0000959608 ffffea00019d9408 0000000000000000 sin procesar: 000000000000000 000000000000003 00000000bfffffff 0000000000000000 página volcada porque: kasan: se detectó un acceso incorrecto page_owner rastrea la página como liberada última página asignada mediante orden 3, migrantstype inamovible, gfp_mask 0x52dc0(GFP_KERNEL|__GFP_NOWARN|__GFP_NORETRY|__GFP_COMP|__GFP_ZERO), pid 5242, tgid 5242 (ejecutor del sistema), ts 73611328570, free_ts 618981657187 establecer_propietario_de_página include/linux/page_owner.h:32 [en línea] post_alloc_hook+0x1f3/0x230 mm/page_alloc.c:1493 preparar_nueva_página mm/page_alloc.c:1501 [en línea] obtener_página_de_lista_libre+0x2e4c/0x2f10 mm/page_alloc.c:3439 __alloc_pages_noprof+0x256/0x6c0 mm/page_alloc.c:4695 __alloc_pages_node_noprof include/linux/gfp.h:269 [en línea] alloc_pages_node_noprof include/linux/gfp.h:296 [en línea] ___kmalloc_large_node+0x8b/0x1d0 mm/slub.c:4103 __kmalloc_large_node_noprof+0x1a/0x80 mm/slub.c:4130 __do_kmalloc_node mm/slub.c:4146 [en línea] __kmalloc_node_noprof+0x2d2/0x440 mm/slub.c:4164 __kvmalloc_node_noprof+0x72/0x190 mm/util.c:650 bucket_table_alloc lib/rhashtable.c:186 [en línea] ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp_bpf: se corrige el valor de retorno de tcp_bpf_sendmsg() Cuando copiamos mensajes en psock->cork, el último mensaje que activa el vaciado dará como resultado el envío de un sk_msg más grande que el tamaño del mensaje actual. En este caso, en tcp_bpf_send_verdict(), 'copied' se vuelve negativo al menos en el siguiente caso: 468 case __SK_DROP: 469 default: 470 sk_msg_free_partial(sk, msg, tosend); 471 sk_msg_apply_bytes(psock, tosend); 472 *copied -= (tosend + delta); // <==== HERE 473 return -EACCES; Por lo tanto, podría generar el siguiente ERROR con un valor adecuado de 'copied' (gracias a syzbot). No deberíamos usar 'copied' negativo como valor de retorno aquí. ------------[ corte aquí ]------------ ¡ERROR del kernel en net/socket.c:733! Error interno: Oops - BUG: 00000000f2000800 [#1] PREEMPT Módulos SMP vinculados en: CPU: 0 UID: 0 PID: 3265 Comm: syz-executor510 No contaminado 6.11.0-rc3-syzkaller-00060-gd07b43284ab3 #0 Nombre del hardware: linux,dummy-virt (DT) pstate: 61400009 (nZCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) pc : sock_sendmsg_nosec net/socket.c:733 [en línea] pc : sock_sendmsg_nosec net/socket.c:728 [en línea] pc : __sock_sendmsg+0x5c/0x60 net/socket.c:745 lr : sock_sendmsg_nosec net/socket.c:730 [en línea] lr : __sock_sendmsg+0x54/0x60 net/socket.c:745 sp : ffff800088ea3b30 x29: ffff800088ea3b30 x28: fbf00000062bc900 x27: 0000000000000000 x26: ffff800088ea3bc0 x25: ffff800088ea3bc0 x24: 0000000000000000 x23: f9f0000048dc000 x22: 0000000000000000 x21: ffff800088ea3d90 x20: f9f00000048dc000 x19: ffff800088ea3d90 x18: 0000000000000001 x17: 0000000000000000 x16: 0000000000000000 x15: 000000002002ffaf x14: 0000000000000000 x13: 0000000000000000 x12: 0000000000000000 x11: 0000000000000000 x10: ffff8000815849c0 x9 : ffff8000815b49c0 x8 : 0000000000000000 x7 : 0000000000000003f x6 : 0000000000000000 x5 : 00000000000007e0 x4 : fff07ffffd239000 x3 : fbf00000062bc900 x2 : 000000000000000 x1 : 000000000000000 x0 : 00000000fffffdef Rastreo de llamadas: sock_sendmsg_nosec net/socket.c:733 [en línea] __sock_sendmsg+0x5c/0x60 net/socket.c:745 ____sys_sendmsg+0x274/0x2ac net/socket.c:2597 ___sys_sendmsg+0xac/0x100 net/socket.c:2651 __sys_sendmsg+0x84/0xe0 net/socket.c:2680 __do_sys_sendmsg net/socket.c:2689 [en línea] __se_sys_sendmsg net/socket.c:2687 [en línea] __arm64_sys_sendmsg+0x24/0x30 net/socket.c:2687 __invoke_syscall arch/arm64/kernel/syscall.c:35 [en línea] anybody_syscall+0x48/0x110 arch/arm64/kernel/syscall.c:49 el0_svc_common.constprop.0+0x40/0xe0 arch/arm64/kernel/syscall.c:132 do_el0_svc+0x1c/0x28 arch/arm64/kernel/syscall.c:151 el0_svc+0x34/0xec arch/arm64/kernel/entry-common.c:712 el0t_64_sync_handler+0x100/0x12c arch/arm64/kernel/entry-common.c:730 el0t_64_sync+0x19c/0x1a0 arch/arm64/kernel/entry.S:598 Código: f9404463 d63f0060 3108441f 54fffe81 (d4210000) ---[ fin de seguimiento 0000000000000000 ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: mana: Se corrige el manejo de errores en la limpieza de NAPI de mana_create_txq/rxq Actualmente, napi_disable() se llama durante la limpieza de rxq y txq, incluso antes de que napi esté habilitado y hrtimer se inicialice. Provoca pánico del kernel. ? page_fault_oops+0x136/0x2b0 ? page_counter_cancel+0x2e/0x80 ? do_user_addr_fault+0x2f2/0x640 ? refill_obj_stock+0xc4/0x110 ? exc_page_fault+0x71/0x160 ? asm_exc_page_fault+0x27/0x30 ? __mmdrop+0x10/0x180 ? __mmdrop+0xec/0x180 ? hrtimer_active+0xd/0x50 hrtimer_try_to_cancel+0x2c/0xf0 hrtimer_cancel+0x15/0x30 napi_disable+0x65/0x90 mana_destroy_rxq+0x4c/0x2f0 mana_create_rxq.isra.0+0x56c/0x6d0 ? mana_uncfg_vport+0x50/0x50 mana_alloc_queues+0x21b/0x320 ? skb_dequeue+0x5f/0x80

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: eliminar tst_run de lwt_seg6local_prog_ops. El syzbot informó que las operaciones BPF relacionadas con lwt_seg6 se pueden invocar mediante bpf_test_run() sin ingresar primero input_action_end_bpf(). Martin KaFai Lau dijo que la autoprueba para BPF_PROG_TYPE_LWT_SEG6LOCAL probablemente no funcionó ya que se introdujo en el commit 04d4b274e2a ("ipv6: sr: Agregar acción seg6local End.BPF"). La razón es que la variable por CPU seg6_bpf_srh_states::srh nunca se asigna en el caso de la autoprueba, pero cada función BPF lo espera. Eliminar test_run para BPF_PROG_TYPE_LWT_SEG6LOCAL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: hwmon: (w83627ehf) Se corrigen los desbordamientos de línea observados al escribir los atributos de límite DIV_ROUND_CLOSEST() después de que kstrtol() dé como resultado un desbordamiento de línea si el usuario proporciona un número negativo grande, como -9223372036854775808. Se soluciona reordenando las operaciones clamp_val() y DIV_ROUND_CLOSEST().