Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Se corrige la propagación insuficiente de los límites desde adjust_scalar_min_max_vals Kuee informó de un caso extremo en el que el tnum se vuelve constante después de la llamada a __reg_bound_offset(), pero los límites del registro no lo son, es decir, sus límites mínimos siguen sin ser iguales a los límites máximos del registro. Esto, a su vez, permite filtrar punteros al convertir un registro de puntero tal como está en un escalar desconocido mediante adjust_ptr_min_max_vals(). Before: func#0 @0 0: R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 0: (b7) r0 = 1 ; R0_w=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) 1: (b7) r3 = 0 ; R3_w=scalar(imm=0,umax=0,var_off=(0x0; 0x0)) 2: (87) r3 = -r3 ; R3_w=scalar() 3: (87) r3 = -r3 ; R3_w=scalar() 4: (47) r3 |= 32767 ; R3_w=scalar(smin=-9223372036854743041,umin=32767,var_off=(0x7fff; 0xffffffffffff8000),s32_min=-2147450881) 5: (75) if r3 s>= 0x0 goto pc+1 ; R3_w=scalar(umin=9223372036854808575,var_off=(0x8000000000007fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 6: (95) exit from 5 to 7: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 7: (d5) if r3 s<= 0x8000 goto pc+1 ; R3=scalar(umin=32769,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 8: (95) exit from 7 to 9: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=32768,var_off=(0x7fff; 0x8000)) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 9: (07) r3 += -32767 ; R3_w=scalar(imm=0,umax=1,var_off=(0x0; 0x0)) <--- [*] 10: (95) exit What can be seen here is that R3=scalar(umin=32767,umax=32768,var_off=(0x7fff; 0x8000)) after the operation R3 += -32767 results in a 'malformed' constant, that is, R3_w=scalar(imm=0,umax=1,var_off=(0x0; 0x0)). Intersecting with var_off has not been done at that point via __update_reg_bounds(), which would have improved the umax to be equal to umin. Refactor the tnum <> min/max bounds information flow into a reg_bounds_sync() helper and use it consistently everywhere. After the fix, bounds have been corrected to R3_w=scalar(imm=0,umax=0,var_off=(0x0; 0x0)) and thus the register is regarded as a 'proper' constant scalar of 0. After: func#0 @0 0: R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 0: (b7) r0 = 1 ; R0_w=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) 1: (b7) r3 = 0 ; R3_w=scalar(imm=0,umax=0,var_off=(0x0; 0x0)) 2: (87) r3 = -r3 ; R3_w=scalar() 3: (87) r3 = -r3 ; R3_w=scalar() 4: (47) r3 |= 32767 ; R3_w=scalar(smin=-9223372036854743041,umin=32767,var_off=(0x7fff; 0xffffffffffff8000),s32_min=-2147450881) 5: (75) if r3 s>= 0x0 goto pc+1 ; R3_w=scalar(umin=9223372036854808575,var_off=(0x8000000000007fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 6: (95) exit from 5 to 7: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881) R10=fp(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) 7: (d5) if r3 s<= 0x8000 goto pc+1 ; R3=scalar(umin=32769,umax=9223372036854775807,var_off=(0x7fff; 0x7fffffffffff8000),s32_min=-2147450881,u32_min=32767) 8: (95) exit from 7 to 9: R0=scalar(imm=1,umin=1,umax=1,var_off=(0x1; 0x0)) R1=ctx(off=0,imm=0,umax=0,var_off=(0x0; 0x0)) R3=scalar(umin=32767,umax=32768,var_off=(0x7fff; 0x8000)) R10=fp(off=0 ---truncated---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: m_can: m_can_{read_fifo,echo_tx_event}(): cambiar la marca de tiempo a 32 bits completos En el commit 1be37d3b0414 ("can: m_can: corregir la ruta RX de los periféricos: usar rx-offload para garantizar que los skbs se envíen desde el contexto de softirq"), la ruta RX para los dispositivos periféricos se cambió a RX-offload. Los marcos CAN recibidos se envían a RX-offload junto con una marca de tiempo. RX-offload está diseñado para gestionar desbordamientos de la marca de tiempo correctamente, si se proporcionan marcas de tiempo de 32 bits. Las marcas de tiempo del núcleo m_can tienen solo 16 bits de ancho. Por lo tanto, este parche las cambia a 32 bits completos antes de pasarlas a RX-offload.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: icmp: se han corregido las ejecuciones de datos en torno a sysctl. Al leer las variables sysctl de icmp, estas pueden modificarse simultáneamente. Por lo tanto, debemos agregar READ_ONCE() para evitar las ejecuciones de datos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cipso: Se corrigen las ejecuciones de datos en torno a sysctl. Al leer las variables sysctl de cipso, estas pueden modificarse simultáneamente. Por lo tanto, debemos agregar READ_ONCE() para evitar las ejecuciones de datos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sysctl: Se corrigen las ejecuciones de datos en proc_douintvec_minmax(). Se accede a una variable sysctl de forma concurrente y siempre existe la posibilidad de una ejecución de datos. Por lo tanto, todos los lectores y escritores necesitan una protección básica para evitar la rotura de la carga o el almacenamiento. Este parche cambia proc_douintvec_minmax() para que utilice READ_ONCE() y WRITE_ONCE() internamente para corregir las ejecuciones de datos en el lado de sysctl. Por ahora, proc_douintvec_minmax() en sí es tolerante a una ejecución de datos, pero aún necesitamos agregar anotaciones en el lado del otro subsistema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sysctl: Se corrigen las ejecuciones de datos en proc_douintvec(). Se accede a una variable sysctl de forma concurrente y siempre existe la posibilidad de una ejecución de datos. Por lo tanto, todos los lectores y escritores necesitan una protección básica para evitar la rotura de la carga o el almacenamiento. Este parche cambia proc_douintvec() para que utilice READ_ONCE() y WRITE_ONCE() internamente para corregir las ejecuciones de datos en el lado de sysctl. Por ahora, proc_douintvec() en sí es tolerante a una ejecución de datos, pero aún necesitamos agregar anotaciones en el lado del otro subsistema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: stmmac: dwc-qos: Deshabilitar encabezado dividido para Tegra194 Hay un problema de larga data con el controlador Ethernet Synopsys DWC para Tegra194 donde se han observado fallas aleatorias del sistema [0]. El problema ocurre cuando la función de encabezado dividido está habilitada en el controlador stmmac. En el mal caso, se recibe una longitud de búfer mayor a la esperada y hace que el cálculo de la longitud total del búfer se desborde. Esto da como resultado una longitud de búfer muy grande que hace que el kernel se bloquee. No está claro por qué se recibe esta longitud de búfer mayor, sin embargo, la retroalimentación del equipo de diseño de NVIDIA es que la función de encabezado dividido no es compatible con Tegra194. Por lo tanto, deshabilite la compatibilidad con encabezado dividido para Tegra194 para evitar que ocurran estas fallas aleatorias. [0] https://lore.kernel.org/linux-tegra/b0b17697-f23e-8fa5-3757-604a86f3a095@nvidia.com/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ima: Se corrige un posible desbordamiento de enteros en ima_appraise_measurement Cuando ima-modsig está habilitado, el rc pasado a evm_verifyxattr() puede ser negativo, lo que puede causar el problema de desbordamiento de enteros.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915: se corrige una posible pérdida de recuento de referencias en intel_dp_add_mst_connector(). Si drm_connector_init falla, se llamará a intel_connector_free para encargarse de la liberación adecuada. Por lo tanto, es necesario eliminar el recuento de referencias del puerto antes de intel_connector_free. (seleccionado de el commit cea9ed611e85d36a05db52b6457bf584b7d969e2)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/panfrost: Arreglar la corrupción de la lista de reductores por parte de madvise IOCTL Llamar a madvise IOCTL dos veces en BO provoca corrupción de la lista de reductores de memoria y bloquea el kernel porque BO ya está en la lista y se agrega a la lista nuevamente, mientras que BO debería eliminarse de la lista antes de volver a agregarse. Arréglalo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: se corrige la selección de cola para interfaces de malla/OCB Al usar iTXQ, el código supone que solo hay una cola vif para paquetes de difusión, utilizando la cola BE. Permitir el marcado de colas que no sean BE viola esa suposición y txq->ac == skb_queue_mapping ya no está garantizado. Esto puede causar problemas con la gestión de colas en el controlador y también causa problemas con el cambio reciente de ATF, lo que resulta en una advertencia de desbordamiento de AQL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cgroup: usar nodos src/dst separados al precargar css_sets para la migración Cada cset (css_set) está fijado por sus tareas. Cuando estamos moviendo tareas entre csets para una migración, necesitamos mantener los csets de origen y destino para asegurarnos de que no desaparezcan mientras movemos tareas. Esto se hace vinculando cset->mg_preload_node en la lista mgctx->preloaded_src_csets o mgctx->preloaded_dst_csets. Se consideró correcto usar el mismo cset->mg_preload_node para las listas src y dst, ya que un cset no puede ser el origen y el destino al mismo tiempo. Desafortunadamente, esta sobrecarga se vuelve problemática cuando hay varias tareas involucradas en una migración y algunas de ellas son migraciones de noop de identidad mientras que otras en realidad se están moviendo entre cgroup1: #1> mkdir -p /sys/fs/cgroup/misc/a/b #2> echo $$ > /sys/fs/cgroup/misc/a/cgroup.procs #3> RUN_A_COMMAND_WHICH_CREATES_MULTIPLE_THREADS & #4> PID=$! #5> echo $PID > /sys/fs/cgroup/misc/a/b/tasks #6> echo $PID > /sys/fs/cgroup/misc/a/cgroup.procs el proceso que incluye al líder del grupo de nuevo en a. En esta migración final, los subprocesos que no son líderes estarían realizando la migración de identidad mientras que el líder del grupo está realizando una real. Después del n.° 3, digamos que todo el proceso estaba en cset A, y que después del n.° 4, el líder se mueve al cset B. Luego, durante el n.° 6, sucede lo siguiente: 1. se llama a cgroup_migrate_add_src() en B para el líder. 2. se llama a cgroup_migrate_add_src() en A para los otros subprocesos. 3. se llama a cgroup_migrate_prepare_dst(). Escanea la lista src. 4. Se da cuenta de que B quiere migrar a A, por lo que intenta llevar A a la lista dst pero se da cuenta de que su ->mg_preload_node ya está ocupado. 5. y luego se da cuenta de que A quiere migrar a A como es una migración de identidad, lo descarta haciendo list_del_init()'ing su ->mg_preload_node y poniendo referencias en consecuencia. 6. El resto de la migración se lleva a cabo con B en la lista src pero nada en la lista dst. Esto significa que A no se mantiene mientras la migración está en progreso. Si todas las tareas abandonan A antes de que finalice la migración y la tarea entrante lo fija, el cset se destruirá, lo que provocará un use-after-free. Esto se debe a la sobrecarga de cset->mg_preload_node para las listas de precarga de src y dst. Queríamos excluir el cset de la lista de src, pero terminamos excluyéndolo inadvertidamente también de la lista de dst. Este parche soluciona el problema al separar cset->mg_preload_node en ->mg_src_preload_node y ->mg_dst_preload_node, de modo que las precargas de src y dst no interfieran entre sí.