Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: arm64: cacheinfo: evitar escritura fuera de los límites en la matriz cacheinfo El bucle que detecta/completa la información de caché ya tiene una comprobación de los límites en el tamaño de la matriz, pero no tiene en cuenta los niveles de caché con caché de datos/instrucciones independiente. Solucione esto incrementando el índice de cualquier hoja completada (en lugar de cualquier nivel completo).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: equipo: mejor validación de TEAM_OPTION_TYPE_STRING syzbot informó lo siguiente: [1] Asegúrese de que los datos proporcionados por el usuario contengan un byte nulo. [1] ERROR: KMSAN: valor no inicializado en string_nocheck lib/vsprintf.c:633 [en línea] ERROR: KMSAN: valor no inicializado en string+0x3ec/0x5f0 lib/vsprintf.c:714 string_nocheck lib/vsprintf.c:633 [inline] string+0x3ec/0x5f0 lib/vsprintf.c:714 vsnprintf+0xa5d/0x1960 lib/vsprintf.c:2843 __request_module+0x252/0x9f0 kernel/module/kmod.c:149 team_mode_get drivers/net/team/team_core.c:480 [inline] team_change_mode drivers/net/team/team_core.c:607 [inline] team_mode_option_set+0x437/0x970 drivers/net/team/team_core.c:1401 team_option_set drivers/net/team/team_core.c:375 [inline] team_nl_options_set_doit+0x1339/0x1f90 drivers/net/team/team_core.c:2662 genl_family_rcv_msg_doit net/netlink/genetlink.c:1115 [inline] genl_family_rcv_msg net/netlink/genetlink.c:1195 [inline] genl_rcv_msg+0x1214/0x12c0 net/netlink/genetlink.c:1210 netlink_rcv_skb+0x375/0x650 net/netlink/af_netlink.c:2543 genl_rcv+0x40/0x60 net/netlink/genetlink.c:1219 netlink_unicast_kernel net/netlink/af_netlink.c:1322 [inline] netlink_unicast+0xf52/0x1260 net/netlink/af_netlink.c:1348 netlink_sendmsg+0x10da/0x11e0 net/netlink/af_netlink.c:1892 sock_sendmsg_nosec net/socket.c:718 [inline] __sock_sendmsg+0x30f/0x380 net/socket.c:733 ____sys_sendmsg+0x877/0xb60 net/socket.c:2573 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2627 __sys_sendmsg net/socket.c:2659 [inline] __do_sys_sendmsg net/socket.c:2664 [inline] __se_sys_sendmsg net/socket.c:2662 [inline] __x64_sys_sendmsg+0x212/0x3c0 net/socket.c:2662 x64_sys_call+0x2ed6/0x3c30 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vxlan: comprobar el valor de retorno de vxlan_vnigroup_init() vxlan_init() debe comprobar el éxito de vxlan_vnigroup_init() de lo contrario se produce un bloqueo más tarde, detectado por syzbot. Oops: fallo de protección general, probablemente para dirección no canónica 0xdffffc000000002c: 0000 [#1] PREEMPT SMP KASAN NOPTI KASAN: null-ptr-deref en rango [0x000000000000160-0x0000000000000167] CPU: 0 UID: 0 PID: 7313 Comm: syz-executor147 No contaminado 6.14.0-rc1-syzkaller-00276-g69b54314c975 #0 Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 RIP: 0010:vxlan_vnigroup_uninit+0x89/0x500 drivers/net/vxlan/vxlan_vnifilter.c:912 Código: 00 48 8b 44 24 08 4c 8b b0 98 41 00 00 49 8d 86 60 01 00 00 48 89 c2 48 89 44 24 10 48 b8 00 00 00 00 00 fc ff df 48 c1 ea 03 <80> 3c 02 00 0f 85 4d 04 00 00 49 8b 86 60 01 00 00 48 ba 00 00 00 RSP: 0018:ffffc9000cc1eea8 EFLAGS: 00010202 RAX: dffffc0000000000 RBX: 0000000000000001 RCX: ffffffff8672effb RDX: 000000000000002c RSI: ffffffff8672ecb9 RDI: ffff8880461b4f18 RBP: ffff8880461b4ef4 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000001 R11: 0000000000000000 R12: 0000000000020000 R13: ffff8880461b0d80 R14: 0000000000000000 R15: dffffc0000000000 FS: 00007fecfa95d6c0(0000) GS:ffff88806a600000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fecfa95cfb8 CR3: 000000004472c000 CR4: 0000000000352ef0 DR0: 00000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: vxlan_uninit+0x1ab/0x200 drivers/net/vxlan/vxlan_core.c:2942 unregister_netdevice_many_notify+0x12d6/0x1f30 net/core/dev.c:11824 unregister_netdevice_many net/core/dev.c:11866 [en línea] unregister_netdevice_queue+0x307/0x3f0 net/core/dev.c:11736 register_netdevice+0x1829/0x1eb0 net/core/dev.c:10901 __vxlan_dev_create+0x7c6/0xa30 drivers/net/vxlan/vxlan_core.c:3981 vxlan_newlink+0xd1/0x130 drivers/net/vxlan/vxlan_core.c:4407 rtnl_newlink_create net/core/rtnetlink.c:3795 [en línea] __rtnl_newlink net/core/rtnetlink.c:3906 [en línea]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vrf: usar protección RCU en l3mdev_l3_out() l3mdev_l3_out() se puede llamar sin que se retenga RCU: raw_sendmsg() ip_push_pending_frames() ip_send_skb() ip_local_out() __ip_local_out() l3mdev_ip_out() Agregue el par rcu_read_lock() / rcu_read_unlock() para evitar un posible UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ring-buffer: validar la matriz de subbuf de metadatos persistentes Los metadatos de un búfer de anillo asignado contienen una matriz de índices de todos los subbúferes. La primera entrada es la página del lector y el resto de las entradas establecen el orden de los subbúferes en cómo se creará la lista de enlaces del búfer de anillo. El validador actualmente se asegura de que todas las entradas estén dentro del rango de 0 y nr_subbufs. Pero no verifica si hay duplicados. Mientras trabajaba en el búfer de anillo, corrompí esta matriz, donde agregué duplicados. El validador no lo detectó y creó la lista de enlaces del búfer de anillo encima. Afortunadamente, la corrupción fue solo que la página del lector también estaba en la ruta del escritor y solo presentó datos corruptos pero no bloqueó el kernel. Pero si había duplicados en el lado del escritor, entonces podría corromper la lista de enlaces del búfer de anillo y causar un bloqueo. Cree una matriz de máscara de bits con el tamaño del número de subbúferes. Luego, bórrelo. Al recorrer la matriz subbuf para verificar si las entradas están dentro del rango, verifique si su bit ya está configurado en subbuf_mask. Si es así, entonces hay duplicados y falla la validación. Si no es así, configure el bit correspondiente y continúe.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tracing: No permitir mmap() de búfer de anillo persistente Al intentar mmap un búfer de instancia de seguimiento que está adjunto a reserve_mem, se bloquearía: BUG: no se puede manejar el error de página para la dirección: ffffe97bd00025c8 #PF: acceso de lectura de supervisor en modo kernel #PF: error_code(0x0000) - página no presente PGD 2862f3067 P4D 2862f3067 PUD 0 Oops: Oops: 0000 [#1] PREEMPT_RT SMP PTI CPU: 4 UID: 0 PID: 981 Comm: mmap-rb No contaminado 6.14.0-rc2-test-00003-g7f1a5e3fbf9e-dirty #233 Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2 01/04/2014 RIP: 0010:validate_page_before_insert+0x5/0xb0 Código: e2 01 89 d0 c3 cc cc cc cc 66 66 2e 0f 1f 84 00 00 00 00 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 0f 1f 44 00 00 <48> 8b 46 08 a8 01 75 67 66 90 48 89 f0 8b 50 34 85 d2 74 76 48 89 RSP: 0018:ffffb148c2f3f968 EFLAGS: 00010246 RAX: ffff9fa5d3322000 RBX: ffff9fa5ccff9c08 RCX: 00000000b879ed29 RDX: ffffe97bd00025c0 RSI: ffffe97bd00025c0 RDI: ffff9fa5ccff9c08 RBP: ffffb148c2f3f9f0 R08: 000000000000004 R09: 0000000000000004 R10: 0000000000000000 R11: 0000000000000200 R12: 0000000000000000 R13: 00007f16a18d5000 R14: ffff9fa5c48db6a8 R15: 0000000000000000 FS: 00007f16a1b54740(0000) GS:ffff9fa73df00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 000000080050033 CR2: ffffe97bd00025c8 CR3: 00000001048c6006 CR4: 0000000000172ef0 Seguimiento de llamadas: ? __die_body.cold+0x19/0x1f ? __die+0x2e/0x40 ? page_fault_oops+0x157/0x2b0 ? search_module_extables+0x53/0x80 ? validation_page_before_insert+0x5/0xb0 ? kernelmode_fixup_or_oops.isra.0+0x5f/0x70 ? __bad_area_nosemaphore+0x16e/0x1b0 ? bad_area_nosemaphore+0x16/0x20 ? do_kern_addr_fault+0x77/0x90 ? exc_page_fault+0x22b/0x230 ? asm_exc_page_fault+0x2b/0x30 ? validate_page_before_insert+0x5/0xb0 ? vm_insert_pages+0x151/0x400 __rb_map_vma+0x21f/0x3f0 ring_buffer_map+0x21b/0x2f0 tracing_buffers_mmap+0x70/0xd0 __mmap_region+0x6f0/0xbd0 mmap_region+0x7f/0x130 do_mmap+0x475/0x610 vm_mmap_pgoff+0xf2/0x1d0 ksys_mmap_pgoff+0x166/0x200 __x64_sys_mmap+0x37/0x50 x64_sys_call+0x1670/0x1d70 do_syscall_64+0xbb/0x1d0 entry_SYSCALL_64_after_hwframe+0x77/0x7f La razón fue que el código que asigna las páginas del búfer de anillo al espacio de usuario tiene: page = virt_to_page((void *)cpu_buffer->subbuf_ids[s]); Y lo usa en: vm_insert_pages(vma, vma->vm_start, pages, &nr_pages); Pero virt_to_page() no funciona con la memoria vmap() que es la que tiene el búfer de anillo persistente. Es bastante trivial permitir esto, pero por ahora simplemente deshabilite mmap() de las instancias que tienen su búfer de anillo desde la opción reserve_mem. Si se realiza un mmap() en un búfer persistente, devolverá -ENODEV tal como lo haría si el campo .mmap no estuviera definido en la estructura file_operations.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: rockchip: rkcanfd_handle_rx_fifo_overflow_int(): salir si no se puede asignar skb Se corrige la comprobación del puntero NULL en rkcanfd_handle_rx_fifo_overflow_int() para salir si no se puede asignar skb.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: x86: Rechazar las hiperllamadas SEND_IPI de Hyper-V si la API local no está en el kernel Publicitar soporte para las hiperllamadas SEND_IPI y SEND_IPI_EX de Hyper-V si y solo si la API local es emulada/virtualizada por KVM, y rechazar explícitamente dichas hiperllamadas si la API local es emulada en el espacio de usuario, es decir, no confiar en el espacio de usuario para optar por KVM_CAP_HYPERV_ENFORCE_CPUID. Rechazar SEND_IPI y SEND_IPI_EX corrige una desreferencia de puntero NULL si las iluminaciones de Hyper-V se exponen al invitado sin una APIC local en el núcleo: dump_stack+0xbe/0xfd __kasan_report.cold+0x34/0x84 kasan_report+0x3a/0x50 __apic_accept_irq+0x3a/0x5c0 kvm_hv_send_ipi.isra.0+0x34e/0x820 kvm_hv_hypercall+0x8d9/0x9d0 kvm_emulate_hypercall+0x506/0x7e0 __vmx_handle_exit+0x283/0xb60 vmx_handle_exit+0x1d/0xd0 vcpu_enter_guest+0x16b0/0x24c0 vcpu_run+0xc0/0x550 kvm_arch_vcpu_ioctl_run+0x170/0x6d0 kvm_vcpu_ioctl+0x413/0xb20 __se_sys_ioctl+0x111/0x160 do_syscal1_64+0x30/0x40 entry_SYSCALL_64_after_hwframe+0x67/0xd1 Tenga en cuenta que comprobar la vCPU de envío es suficiente, ya que el irqchip_mode por VM no se puede modificar después de crear las vCPU, es decir, si una vCPU tiene una APIC local en el núcleo, entonces todas las vCPU tienen una APIC local en el núcleo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: evitar el desbordamiento de búfer adjunto en smu_sys_set_pp_table() Si un usuario malintencionado proporciona una pptable pequeña a través de sysfs y luego una pptable más grande, puede provocar un ataque de desbordamiento de búfer en la función smu_sys_set_pp_table().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: batman-adv: se corrige el pánico durante la eliminación de la interfaz. El recuento de referencias se utiliza para garantizar que batadv_hardif_neigh_node y batadv_hard_iface no se liberen antes o durante la finalización del trabajo de batadv_v_elp_throughput_metric_update. Pero no hay garantía de que el if duro permanezca asociado con una interfaz blanda hasta que finalice el trabajo. Esto corrige un fallo provocado por el reinicio que se parece a esto: Seguimiento de llamada: batadv_v_mesh_free+0xd0/0x4dc [batman_adv] batadv_v_elp_throughput_metric_update+0x1c/0xa4 process_one_work+0x178/0x398 worker_thread+0x2e8/0x4d0 kthread+0xd8/0xdc ret_from_fork+0x10/0x20 (la llamada batadv_v_mesh_free es engañosa y en realidad no sucede) Pude hacer que el problema sucediera de manera más confiable al cambiar hardif_neigh->bat_v.metric_work work para que sea delayed work. Esto me permitió rastrear y confirmar la solución. [sven@narfation.org: evitar ingresar batadv_v_elp_get_throughput sin soft_iface]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: ctucanfd: manejar la falla de asignación de skb Si la asignación de skb falla, el puntero a struct can_frame es NULL. Esto se maneja en realidad en todas partes dentro de ctucan_err_interrupt() excepto en el único lugar. Agregue la verificación NULL omitida. Encontrado por Linux Verification Center (linuxtesting.org) con la herramienta de análisis estático SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: USB: hub: Ignorar dispositivos no compatibles con demasiadas configuraciones o interfaces Robert Morris creó un programa de prueba que puede hacer que usb_hub_to_struct_hub() desreferenciara un puntero NULL o inapropiado: Ups: error de protección general, probablemente para una dirección no canónica 0xcccccccccccccccc: 0000 [#1] SMP DEBUG_PAGEALLOC PTI CPU: 7 UID: 0 PID: 117 Comm: kworker/7:1 No contaminado 6.13.0-rc3-00017-gf44d154d6e3d #14 Nombre del hardware: FreeBSD BHYVE/BHYVE, BIOS 14.0 17/10/2021 Cola de trabajo: usb_hub_wq hub_event RIP: 0010:usb_hub_adjust_deviceremovable+0x78/0x110 ... Seguimiento de llamadas: ? die_addr+0x31/0x80 ? exc_general_protection+0x1b4/0x3c0 ? asm_exc_general_protection+0x26/0x30 ? usb_hub_adjust_deviceremovable+0x78/0x110 hub_probe+0x7c7/0xab0 usb_probe_interface+0x14b/0x350 really_probe+0xd0/0x2d0 ? __pfx___device_attach_driver+0x10/0x10 __driver_probe_device+0x6e/0x110 driver_probe_device+0x1a/0x90 __device_attach_driver+0x7e/0xc0 bus_for_each_drv+0x7f/0xd0 __device_attach+0xaa/0x1a0 bus_probe_device+0x8b/0xa0 device_add+0x62e/0x810 usb_set_configuration+0x65d/0x990 usb_generic_driver_probe+0x4b/0x70 usb_probe_device+0x36/0xd0 La causa de este error es que el dispositivo tiene dos interfaces y el controlador del concentrador se vincula a la interfaz 1 en lugar de a la interfaz 0, que es donde usb_hub_to_struct_hub() analiza. Podemos evitar que se produzca el problema si nos negamos a aceptar dispositivos concentradores que violen la especificación USB al tener más de una configuración o interfaz.