Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: driver: base: fix UAF when driver_attach failed Cuando driver_attach(drv); falla, se libera driver_private. Pero se ha añadido al bus, lo que ha provocado un UAF. Para solucionarlo, debemos eliminarlo del bus cuando falla.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ethernet: ti: am65-cpsw-nuss: Se corrigen algunas fugas de refcount of_get_child_by_name() devuelve un puntero de nodo con refcount incrementado, deberíamos usar of_node_put() en él cuando ya no lo necesitemos. am65_cpsw_init_cpts() y am65_cpsw_nuss_probe() no liberan el refcount en caso de error. Agregue of_node_put() faltante para evitar la fuga de refcount.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: watchdog: rzg2l_wdt: soluciona el problema de desbordamiento de 32 bits El valor de timer_cycle_us puede ser 0 debido al desbordamiento de 32 bits. Por ejemplo: si asignamos el valor del contador "0xfff" para calcular maxval. Este parche soluciona este problema añadiendo ULL a 1024, de modo que se promueva a 64 bits. Este parche también soluciona el mensaje de advertencia, 'watchdog: Invalid min and max timeout values, resetting to 0!'.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ubi: ubi_create_volume: Se corrige el problema de use-after-free cuando falla la creación del volumen Hay un problema de use-after-free para 'eba_tbl' en la ruta de gestión de errores de ubi_create_volume(): ubi_eba_replace_table(vol, eba_tbl) vol->eba_tbl = tbl out_mapping: ubi_eba_destroy_table(eba_tbl) // Libera 'eba_tbl' out_unlock: put_device(&vol->dev) vol_release kfree(tbl->entries) // UAF Arréglalo eliminando la liberación redundante de 'eba_tbl'. Obtén un reproductor en [Enlace].

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: usbip: se corrige una pérdida de recuento de referencias en stub_probe(). Se llama a usb_get_dev() en stub_device_alloc(). Cuando stub_probe() falla después de eso, se debe llamar a usb_put_dev() para liberar la referencia. Corrija esto moviendo usb_put_dev() a la gestión de la ruta de error sdev_free. Encuentre esto mediante la revisión del código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: macsec: se corrige el error UAF para real_dev Crea un nuevo dispositivo macsec pero no obtiene la referencia a real_dev. Esto no puede garantizar que real_dev se libere después de macsec. Esto activará el error UAF para real_dev de la siguiente manera: ==================================================================== ERROR: KASAN: use-after-free in macsec_get_iflink+0x5f/0x70 drivers/net/macsec.c:3662 Call Trace: ... macsec_get_iflink+0x5f/0x70 drivers/net/macsec.c:3662 dev_get_iflink+0x73/0xe0 net/core/dev.c:637 default_operstate net/core/link_watch.c:42 [inline] rfc2863_policy+0x233/0x2d0 net/core/link_watch.c:54 linkwatch_do_dev+0x2a/0x150 net/core/link_watch.c:161 Allocated by task 22209: ... alloc_netdev_mqs+0x98/0x1100 net/core/dev.c:10549 rtnl_create_link+0x9d7/0xc00 net/core/rtnetlink.c:3235 veth_newlink+0x20e/0xa90 drivers/net/veth.c:1748 Freed by task 8: ... kfree+0xd6/0x4d0 mm/slub.c:4552 kvfree+0x42/0x50 mm/util.c:615 device_release+0x9f/0x240 drivers/base/core.c:2229 kobject_cleanup lib/kobject.c:673 [inline] kobject_release lib/kobject.c:704 [inline] kref_put include/linux/kref.h:65 [inline] kobject_put+0x1c8/0x540 lib/kobject.c:721 netdev_run_todo+0x72e/0x10b0 net/core/dev.c:10327 After commit faab39f63c1f ("net: allow out-of-order netdev unregistration") and commit e5f80fcf869a ("ipv6: give an IPv6 dev to blackhole_netdev"), we can add dev_hold_track() in macsec_dev_init() and dev_put_track() in macsec_free_netdev() to fix the problem.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: remoteproc: mtk_scp: Se corrige una posible doble liberación: 'scp->rproc' se asigna mediante devm_rproc_alloc(), por lo que no es necesario liberarlo explícitamente en la función de eliminación.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: serial: 8250_aspeed_vuart: Se solucionó una posible desreferenciación de NULL en aspeed_vuart_probe. platform_get_resource() puede fallar y devolver NULL, por lo que deberíamos verificar mejor su valor de retorno para evitar una desreferenciación de puntero NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: fix list iterator in fastrpc_req_mem_unmap_impl Este es otro ejemplo de uso incorrecto del iterador de lista y verificación de NULL. El valor del iterador de lista 'map' *siempre* se establecerá y no será NULL por list_for_each_entry(), por lo que es incorrecto asumir que el valor del iterador será NULL si la lista está vacía (en este caso, la verificación 'if (!map) {' siempre será falsa y nunca saldrá como se esperaba). Para corregir el error, use una nueva variable 'iter' como iterador de lista, mientras usa la variable original 'map' como un puntero dedicado para apuntar al elemento encontrado. Sin este parche, el kernel se bloquea con el siguiente seguimiento: No se puede gestionar el acceso del kernel a la memoria del usuario fuera de las rutinas uaccess en la dirección virtual 0000ffff7fb03750 ... Call trace: fastrpc_map_create+0x70/0x290 [fastrpc] fastrpc_req_mem_map+0xf0/0x2dc [fastrpc] fastrpc_device_ioctl+0x138/0xc60 [fastrpc] __arm64_sys_ioctl+0xa8/0xec invoke_syscall+0x48/0x114 el0_svc_common.constprop.0+0xd4/0xfc do_el0_svc+0x28/0x90 el0_svc+0x3c/0x130 el0t_64_sync_handler+0xa4/0x130 el0t_64_sync+0x18c/0x190 Code: 14000016 f94000a5 eb05029f 54000260 (b94018a6) ---[ end trace 0000000000000000 ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: blk-iolatency: corrige los desequilibrios de recuento en vuelo y los bloqueos de IO en modo sin conexión iolatency necesita rastrear la cantidad de IO en vuelo por cgroup. Como este seguimiento puede ser costoso, se deshabilita cuando ningún cgroup tiene iolatency configurado para el dispositivo. Para garantizar que los contadores en vuelo se mantengan equilibrados, iolatency_set_limit() congela la request_queue mientras manipula el contador habilitado, lo que garantiza que no haya IO en vuelo y, por lo tanto, todos los contadores sean cero. Desafortunadamente, iolatency_set_limit() no es el único lugar donde se manipula el contador habilitado. iolatency_pd_offline() también puede dec el contador y activar la desactivación. Como esta desactivación ocurre sin congelar el q, esto puede suceder fácilmente mientras algunas IO están en vuelo y, por lo tanto, filtrar los recuentos. Esto se puede demostrar fácilmente activando iolatency en un cgroup vacío mientras los IO están en tránsito en otros cgroups y luego eliminando el cgroup. Tenga en cuenta que iolatency no debería haberse habilitado en ninguna otra parte del sistema para garantizar que la eliminación del cgroup deshabilite iolatency para todo el dispositivo. Lo siguiente sigue activando y desactivando iolatency on sda: echo +io > /sys/fs/cgroup/cgroup.subtree_control while true; do mkdir -p /sys/fs/cgroup/test echo '8:0 target=100000' > /sys/fs/cgroup/test/io.latency sleep 1 rmdir /sys/fs/cgroup/test sleep 1 done and there's concurrent fio generating direct rand reads: fio --name test --filename=/dev/sda --direct=1 --rw=randread \ --runtime=600 --time_based --iodepth=256 --numjobs=4 --bs=4k while monitoring with the following drgn script: while True: for css in css_for_each_descendant_pre(prog['blkcg_root'].css.address_of_()): for pos in hlist_for_each(container_of(css, 'struct blkcg', 'css').blkg_list): blkg = container_of(pos, 'struct blkcg_gq', 'blkcg_node') pd = blkg.pd[prog['blkcg_policy_iolatency'].plid] if pd.value_() == 0: continue iolat = container_of(pd, 'struct iolatency_grp', 'pd') inflight = iolat.rq_wait.inflight.counter.value_() if inflight: print(f'inflight={inflight} {disk_name(blkg.q.disk).decode("utf-8")} ' f'{cgroup_path(css.cgroup).decode("utf-8")}') time.sleep(1) The monitoring output looks like the following: inflight=1 sda /user.slice inflight=1 sda /user.slice ... inflight=14 sda /user.slice inflight=13 sda /user.slice inflight=17 sda /user.slice inflight=15 sda /user.slice inflight=18 sda /user.slice inflight=17 sda /user.slice inflight=20 sda /user.slice inflight=19 sda /user.slice <- fio stopped, inflight stuck at 19 inflight=19 sda /user.slice inflight=19 sda /user.slice Si un cgroup con inflight atascado termina siendo limitado, las IO limitadas nunca se emitirán ya que no hay un evento de finalización para despertarlo, lo que genera un bloqueo indefinido. Este parche corrige el error al unificar la gestión de habilitación en un elemento de trabajo que se inicia automáticamente desde iolatency_set_min_lat_nsec(), que se llama desde las rutas iolatency_set_limit() y iolatency_pd_offline(). Es necesario apuntar a un elemento de trabajo ya que iolatency_pd_offline() se llama bajo bloqueos de giro, mientras que congelar una cola de solicitudes requiere un contexto que se pueda suspender. Esto también simplifica el código, lo que reduce el LOC sin los comentarios y evita los bloqueos innecesarios que ocurrían cada vez que se configuraba o borraba el objetivo de latencia de un cgroup.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tipc: comprobar la longitud del atributo para el nombre del portador syzbot informó de un valor no inicializado: ======================================================== ERROR: KMSAN: uninit-value in string+0x4f9/0x6f0 lib/vsprintf.c:725 string_nocheck lib/vsprintf.c:644 [inline] string+0x4f9/0x6f0 lib/vsprintf.c:725 vsnprintf+0x2222/0x3650 lib/vsprintf.c:2806 vprintk_store+0x537/0x2150 kernel/printk/printk.c:2158 vprintk_emit+0x28b/0xab0 kernel/printk/printk.c:2256 vprintk_default+0x86/0xa0 kernel/printk/printk.c:2283 vprintk+0x15f/0x180 kernel/printk/printk_safe.c:50 _printk+0x18d/0x1cf kernel/printk/printk.c:2293 tipc_enable_bearer net/tipc/bearer.c:371 [inline] __tipc_nl_bearer_enable+0x2022/0x22a0 net/tipc/bearer.c:1033 tipc_nl_bearer_enable+0x6c/0xb0 net/tipc/bearer.c:1042 genl_family_rcv_msg_doit net/netlink/genetlink.c:731 [inline] - Do sanity check the attribute length for TIPC_NLA_BEARER_NAME. - Do not use 'illegal name' in printing message.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rtc: mt6397: verificar el valor de retorno después de llamar a platform_get_resource() Causará null-ptr-deref si platform_get_resource() devuelve NULL, necesitamos verificar el valor de retorno.