Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gtp: Destruye el dispositivo junto con el desmantelamiento de netns del socket udp. gtp_newlink() vincula el dispositivo a una lista en dev_net(dev) en lugar de src_net, donde se crea un socket de túnel udp. Incluso cuando se elimina src_net, el dispositivo permanece activo en dev_net(dev). Luego, eliminar src_net activa el splat a continuación. [0] En este ejemplo, gtp0 se crea en ns2 y el socket udp se crea en ns1. ip netns add ns1 ip netns add ns2 ip -n ns1 link add netns ns2 name gtp0 type gtp role sgsn ip netns del ns1 Vinculemos el dispositivo al netns del socket en su lugar. Ahora, gtp_net_exit_batch_rtnl() necesita otra iteración netdev para eliminar todos los dispositivos gtp en netns. [0]: ref_tracker: net notrefcnt@000000003d6e7d05 has 1/2 users at sk_alloc (./include/net/net_namespace.h:345 net/core/sock.c:2236) inet_create (net/ipv4/af_inet.c:326 net/ipv4/af_inet.c:252) __sock_create (net/socket.c:1558) udp_sock_create4 (net/ipv4/udp_tunnel_core.c:18) gtp_create_sock (./include/net/udp_tunnel.h:59 drivers/net/gtp.c:1423) gtp_create_sockets (drivers/net/gtp.c:1447) gtp_newlink (drivers/net/gtp.c:1507) rtnl_newlink (net/core/rtnetlink.c:3786 net/core/rtnetlink.c:3897 net/core/rtnetlink.c:4012) rtnetlink_rcv_msg (net/core/rtnetlink.c:6922) netlink_rcv_skb (net/netlink/af_netlink.c:2542) netlink_unicast (net/netlink/af_netlink.c:1321 net/netlink/af_netlink.c:1347) netlink_sendmsg (net/netlink/af_netlink.c:1891) ____sys_sendmsg (net/socket.c:711 net/socket.c:726 net/socket.c:2583) ___sys_sendmsg (net/socket.c:2639) __sys_sendmsg (net/socket.c:2669) do_syscall_64 (arch/x86/entry/common.c:52 arch/x86/entry/common.c:83) WARNING: CPU: 1 PID: 60 at lib/ref_tracker.c:179 ref_tracker_dir_exit (lib/ref_tracker.c:179) Modules linked in: CPU: 1 UID: 0 PID: 60 Comm: kworker/u16:2 Not tainted 6.13.0-rc5-00147-g4c1224501e9d #5 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.0-0-gd239552ce722-prebuilt.qemu.org 04/01/2014 Workqueue: netns cleanup_net RIP: 0010:ref_tracker_dir_exit (lib/ref_tracker.c:179) Code: 00 00 00 fc ff df 4d 8b 26 49 bd 00 01 00 00 00 00 ad de 4c 39 f5 0f 85 df 00 00 00 48 8b 74 24 08 48 89 df e8 a5 cc 12 02 90 <0f> 0b 90 48 8d 6b 44 be 04 00 00 00 48 89 ef e8 80 de 67 ff 48 89 RSP: 0018:ff11000009a07b60 EFLAGS: 00010286 RAX: 0000000000002bd3 RBX: ff1100000f4e1aa0 RCX: 1ffffffff0e40ac6 RDX: 0000000000000000 RSI: 0000000000000000 RDI: ffffffff8423ee3c RBP: ff1100000f4e1af0 R08: 0000000000000001 R09: fffffbfff0e395ae R10: 0000000000000001 R11: 0000000000036001 R12: ff1100000f4e1af0 R13: dead000000000100 R14: ff1100000f4e1af0 R15: dffffc0000000000 FS: 0000000000000000(0000) GS:ff1100006ce80000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f9b2464bd98 CR3: 0000000005286005 CR4: 0000000000771ef0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe07f0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: ? __warn (kernel/panic.c:748) ? ref_tracker_dir_exit (lib/ref_tracker.c:179) ? report_bug (lib/bug.c:201 lib/bug.c:219) ? handle_bug (arch/x86/kernel/traps.c:285) ? exc_invalid_op (arch/x86/kernel/traps.c:309 (discriminator 1)) ? asm_exc_invalid_op (./arch/x86/include/asm/idtentry.h:621) ? _raw_spin_unlock_irqrestore (./arch/x86/include/asm/irqflags.h:42 ./arch/x86/include/asm/irqflags.h:97 ./arch/x86/include/asm/irqflags.h:155 ./include/linux/spinlock_api_smp.h:151 kernel/locking/spinlock.c:194) ? ref_tracker_dir_exit (lib/ref_tracker.c:179) ? __pfx_ref_tracker_dir_exit (lib/ref_tracker.c:158) ? kfree (mm/slub.c:4613 mm/slub.c:4761) net_free (net/core/net_namespace.c:476 net/core/net_namespace.c:467) cleanup_net (net/core/net_namespace.c:664 (discriminator 3)) process_one_work (kernel/workqueue.c:3229) worker_thread (kernel/workqueue.c:3304 kernel/workqueue.c:3391 ---truncated---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: fec: handle page_pool_dev_alloc_pages error La función fec_enet_update_cbd llama a page_pool_dev_alloc_pages pero no gestionó el caso cuando devolvió NULL. Hubo un WARN_ON(!new_page) pero aún así procedería a usar el puntero NULL y luego fallaría. Este caso parece algo raro, pero cuando el sistema está bajo presión de memoria puede suceder. Un caso en el que puedo duplicar esto con cierta frecuencia es cuando escribo sobre un recurso compartido smbd en un HDD SATA conectado a un imx6q. Establecer /proc/sys/vm/min_free_kbytes en valores más altos también parece resolver el problema para mi caso de prueba. Pero todavía parece incorrecto que el controlador fec ignore el error de asignación de memoria y pueda fallar. Esta confirmación gestiona el error de asignación descartando el paquete actual.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mac802154: comprobar las interfaces locales antes de eliminar la lista sdata syzkaller informó una lista dañada en ieee802154_if_remove. [1] Eliminar una interfaz de red IEEE 802.15.4 después de anular el registro de un dispositivo de hardware IEEE 802.15.4 del sistema. CPU0 CPU1 ==== ==== genl_family_rcv_msg_doit ieee802154_unregister_hw ieee802154_del_iface ieee802154_remove_interfaces rdev_del_virtual_intf_deprecated list_del(&sdata->list) ieee802154_if_remove list_del_rcu Se ha anulado el registro del dispositivo de red. Desde el período de gracia de rcu, la anulación del registro debe ejecutarse antes de ieee802154_if_remove. Para evitar este problema, agregue una comprobación de local->interfaces antes de eliminar la lista sdata. [1] ¡ERROR del kernel en lib/list_debug.c:58! Oops: código de operación no válido: 0000 [#1] PREEMPT SMP KASAN PTI CPU: 0 UID: 0 PID: 6277 Comm: syz-executor157 No contaminado 6.12.0-rc6-syzkaller-00005-g557329bcecc2 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 13/09/2024 RIP: 0010:__list_del_entry_valid_or_report+0xf4/0x140 lib/list_debug.c:56 Código: e8 a1 7e 00 07 90 0f 0b 48 c7 c7 e0 37 60 8c 4c 89 fe e8 8f 7e 00 07 90 0f 0b 48 c7 c7 40 38 60 8c 4c 89 fe e8 7d 7e 00 07 90 <0f> 0b 48 c7 c7 a0 38 60 8c 4c 89 fe e8 6b 7e 00 07 90 0f 0b 48 c7 RSP: 0018:ffffc9000490f3d0 EFLAGS: 00010246 RAX: 00000000000004e RBX: muerto000000000122 RCX: d211eee56bb28d00 RDX: 000000000000000 RSI: 0000000080000000 RDI: 0000000000000000 RBP: ffff88805b278dd8 R08: ffffffff8174a12c R09: 1ffffffff2852f0d R10: dffffc0000000000 R11: fffffbfff2852f0e R12: dffffc0000000000 R13: dffffc0000000000 R14: muerto000000000100 R15: ffff88805b278cc0 FS: 0000555572f94380(0000) GS:ffff8880b8600000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000056262e4a3000 CR3: 0000000078496000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: __list_del_entry_valid include/linux/list.h:124 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000056262e4a3000 CR3: 0000000078496000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: __list_del_entry_valid include/linux/list.h:124 [en línea] __list_del_entry include/linux/list.h:215 [en línea] list_del_rcu include/linux/rculist.h:157 [en línea] ieee802154_if_remove+0x86/0x1e0 net/mac802154/iface.c:687 rdev_del_virtual_intf_deprecated net/ieee802154/rdev-ops.h:24 [en línea] ieee802154_del_iface+0x2c0/0x5c0 net/ieee802154/nl-phy.c:323 genl_family_rcv_msg_doit net/netlink/genetlink.c:1115 [en línea] genl_family_rcv_msg net/netlink/genetlink.c:1195 [en línea] genl_rcv_msg+0xb14/0xec0 net/netlink/genetlink.c:1210 netlink_rcv_skb+0x1e3/0x430 net/netlink/af_netlink.c:2551 genl_rcv+0x28/0x40 net/netlink/genetlink.c:1219 netlink_unicast_kernel net/netlink/af_netlink.c:1331 [en línea] netlink_unicast+0x7f6/0x990 net/netlink/af_netlink.c:1357 netlink_sendmsg+0x8e4/0xcb0 net/netlink/af_netlink.c:1901 sock_sendmsg_nosec net/socket.c:729 [en línea] __sock_sendmsg+0x221/0x270 red/socket.c:744 ____sys_sendmsg+0x52a/0x7e0 red/socket.c:2607 ___sys_sendmsg red/socket.c:2661 [en línea] __sys_sendmsg+0x292/0x380 red/socket.c:2690 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: filemap: evitar truncar el desplazamiento de 64 bits a 32 bits. En los kernels de 32 bits, folio_seek_hole_data() truncaba inadvertidamente un valor de 64 bits a 32 bits, lo que provocaba un posible bucle infinito al escribir en un sistema de archivos xfs.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vsock: previene null-ptr-deref en vsock_*[has_data|has_space] Informes recientes han mostrado cómo a veces llamamos a vsock_*_has_data() cuando un socket vsock ha sido desasignado de un transporte (ver enlaces adjuntos), pero no deberíamos. Las confirmaciones anteriores deberían haber resuelto los problemas reales, pero es posible que tengamos más en el futuro, por lo que para evitar null-ptr-deref, podemos devolver 0 (sin espacio, sin datos disponibles) pero con una advertencia. De esta manera, el código debería continuar ejecutándose en un estado casi consistente y tener una advertencia que nos permita depurar problemas futuros.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iomap: para evitar truncar el desplazamiento de 64 bits a 32 bits en kernels de 32 bits, iomap_write_delalloc_scan() estaba usando inadvertidamente una posición de 32 bits debido a que folio_next_index() devolvía un unsigned long. Esto podría provocar un bucle infinito al escribir en un sistema de archivos xfs.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pmdomain: imx8mp-blk-ctrl: agregar condición de interrupción de bucle faltante Actualmente, imx8mp_blk_ctrl_remove() continuará el bucle for hasta que se produzca una excepción fuera de los límites. pstate: 60000005 (nZCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : dev_pm_domain_detach+0x8/0x48 lr : imx8mp_blk_ctrl_shutdown+0x58/0x90 sp : ffffffc084f8bbf0 x29: ffffffc084f8bbf0 x28: ffffff80daf32ac0 x27: 0000000000000000 x26: ffffffc081658d78 x25: 0000000000000001 x24: ffffffc08201b028 x23: ffffff80d0db9490 x22: ffffffc082340a78 x21: 00000000000005b0 x20: ffffff80d19bc180 x19: 000000000000000a x18: ffffffffffffffff x17: ffffffc080a39e08 x16: ffffffc080a39c98 x15: 4f435f464f006c72 x14: 0000000000000004 x13: ffffff80d0172110 x12: 0000000000000000 x11: ffffff80d0537740 x10: ffffff80d05376c0 x9 : ffffffc0808ed2d8 x8 : ffffffc084f8bab0 x7 : 0000000000000000 x6 : 0000000000000000 x5 : ffffff80d19b9420 x4 : fffffffe03466e60 x3 : 0000000080800077 x2 : 0000000000000000 x1 : 0000000000000001 x0 : 0000000000000000 Call trace: dev_pm_domain_detach+0x8/0x48 platform_shutdown+0x2c/0x48 device_shutdown+0x158/0x268 kernel_restart_prepare+0x40/0x58 kernel_kexec+0x58/0xe8 __do_sys_reboot+0x198/0x258 __arm64_sys_reboot+0x2c/0x40 invoke_syscall+0x5c/0x138 el0_svc_common.constprop.0+0x48/0xf0 do_el0_svc+0x24/0x38 el0_svc+0x38/0xc8 el0t_64_sync_handler+0x120/0x130 el0t_64_sync+0x190/0x198 Code: 8128c2d0 ffffffc0 aa1e03e9 d503201f

El complemento Drag and Drop Multiple File Upload – Contact Form 7 de WordPress es vulnerable a la eliminación arbitraria limitada de archivos debido a una validación insuficiente de la ruta de archivo en la función dnd_codedropz_upload_delete() en todas las versiones hasta la 1.3.8.5 y incluida. Esto permite que atacantes no autenticados eliminen una cantidad limitada de archivos arbitrarios en el servidor. No es posible eliminar archivos como wp-config.php que harían posible la eliminación arbitraria de archivos.

El complemento AI Infographic Maker para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios en todas las versiones hasta la 4.9.0 y incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios.

El complemento eHive Objects Image Grid para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode 'ehive_objects_image_grid' del complemento en todas las versiones hasta incluida, 2.4.1 debido a la falta de entrada desinfección y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

El complemento Post Form – Registration Form – Profile Form for User Profiles – Frontend Content Forms for User Submissions (UGC) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode 'bf_new_submission_link' del complemento en todas las versiones hasta la 2.8.13 y incluida, debido a la falta de entrada desinfección y a la salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.

El complemento WooCommerce Product Table Lite para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios en todas las versiones hasta incluida, 3.9.4. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios. El mismo parámetro 'sc_attrs' también es vulnerable a Cross-Site Scripting Reflejado.