Vulnerabilidades

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: RDMA/rxe: eliminar el enlace directo a net_device El parche similar en siw se encuentra en el enlace: https://git.kernel.org/rdma/rdma/c/16b87037b48889 Este problema también se produjo en RXE. A continuación se analiza este problema. En los siguientes seguimientos de llamadas: "ERROR: KASAN: slab-use-after-free en dev_get_flags+0x188/0x1d0 net/core/dev.c:8782 Lectura de tamaño 4 en la dirección ffff8880554640b0 por la tarea kworker/1:4/5295 CPU: 1 UID: 0 PID: 5295 Comm: kworker/1:4 No contaminado 6.12.0-rc3-syzkaller-00399-g9197b73fd7bb #0 Nombre del hardware: Google Compute Engine/Google Compute Engine, BIOS Google 13/09/2024 Cola de trabajo: infiniband ib_cache_event_task Seguimiento de llamadas: __dump_stack lib/dump_stack.c:94 [en línea] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:120 imprimir_dirección_descripción mm/kasan/report.c:377 [en línea] imprimir_report+0x169/0x550 mm/kasan/report.c:488 kasan_report+0x143/0x180 mm/kasan/report.c:601 dev_get_flags+0x188/0x1d0 net/core/dev.c:8782 rxe_query_port+0x12d/0x260 drivers/infiniband/sw/rxe/rxe_verbs.c:60 __ib_query_port drivers/infiniband/core/device.c:2111 [en línea] ib_query_port+0x168/0x7d0 drivers/infiniband/core/device.c:2143 ib_cache_update+0x1a9/0xb80 drivers/infiniband/core/cache.c:1494 ib_cache_event_task+0xf3/0x1e0 drivers/infiniband/core/cache.c:1568 process_one_work kernel/workqueue.c:3229 [en línea] process_scheduled_works+0xa65/0x1850 kernel/workqueue.c:3310 worker_thread+0x870/0xd30 kernel/workqueue.c:3391 kthread+0x2f2/0x390 kernel/kthread.c:389 ret_from_fork+0x4d/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 " 1). En el enlace [1], " infiniband syz2: set down " Esto significa que en 839.350575, se envió el evento ib_cache_event_task y se puso en cola en ib_wq. 2). En el enlace [1], " team0 (unregistering): Port device team_slave_0 removed " Esto indica que antes de 843.251853, se debe liberar el dispositivo de red. 3). En el enlace [1], " BUG: KASAN: slab-use-after-free en dev_get_flags+0x188/0x1d0 " Esto significa que en 850.559070, ocurrió este problema de slab-use-after-free. En total, el 839.350575, se envió el evento ib_cache_event_task y se puso en cola en ib_wq, antes del 843.251853, se liberó el dispositivo de red veth. El 850.559070, se ejecutó este evento y se llamó al dispositivo de red liberado mencionado. Por lo tanto, se produjo el seguimiento de la llamada anterior. [1] https://syzkaller.appspot.com/x/log.txt?x=12e7025f980000

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netrom: comprobar la longitud del búfer antes de acceder a él Syzkaller informa de un valor no inicializado leído desde ax25cmp al enviar un mensaje sin formato a través de la implementación de ieee802154. ======================================================= ERROR: KMSAN: valor no inicializado en ax25cmp+0x3a5/0x460 net/ax25/ax25_addr.c:119 ax25cmp+0x3a5/0x460 net/ax25/ax25_addr.c:119 nr_dev_get+0x20e/0x450 net/netrom/nr_route.c:601 nr_route_frame+0x1a2/0xfc0 net/netrom/nr_route.c:774 nr_xmit+0x5a/0x1c0 net/netrom/nr_dev.c:144 __netdev_start_xmit include/linux/netdevice.h:4940 [en línea] netdev_start_xmit include/linux/netdevice.h:4954 [en línea] xmit_one net/core/dev.c:3548 [en línea] dev_hard_start_xmit+0x247/0xa10 net/core/dev.c:3564 __dev_queue_xmit+0x33b8/0x5130 net/core/dev.c:4349 dev_queue_xmit include/linux/netdevice.h:3134 [en línea] raw_sendmsg+0x654/0xc10 net/ieee802154/socket.c:299 ieee802154_sock_sendmsg+0x91/0xc0 net/ieee802154/socket.c:96 sock_sendmsg_nosec net/socket.c:730 [en línea] __sock_sendmsg net/socket.c:745 [en línea] ____sys_sendmsg+0x9c2/0xd60 net/socket.c:2584 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2638 __sys_sendmsg net/socket.c:2667 [en línea] __do_sys_sendmsg net/socket.c:2676 [en línea] __se_sys_sendmsg net/socket.c:2674 [en línea] __x64_sys_sendmsg+0x307/0x490 net/socket.c:2674 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0x44/0x110 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x63/0x6b Se creó un unit en: slab_post_alloc_hook+0x129/0xa70 mm/slab.h:768 slab_alloc_node mm/slub.c:3478 [en línea] kmem_cache_alloc_node+0x5e9/0xb10 mm/slub.c:3523 kmalloc_reserve+0x13d/0x4a0 net/core/skbuff.c:560 __alloc_skb+0x318/0x740 net/core/skbuff.c:651 alloc_skb include/linux/skbuff.h:1286 [en línea] alloc_skb_with_frags+0xc8/0xbd0 net/core/skbuff.c:6334 sock_alloc_send_pskb+0xa80/0xbf0 net/core/sock.c:2780 sock_alloc_send_skb include/net/sock.h:1884 [en línea] raw_sendmsg+0x36d/0xc10 net/ieee802154/socket.c:282 ieee802154_sock_sendmsg+0x91/0xc0 net/ieee802154/socket.c:96 sock_sendmsg_nosec net/socket.c:730 [en línea] __sock_sendmsg net/socket.c:745 [en línea] ____sys_sendmsg+0x9c2/0xd60 net/socket.c:2584 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2638 __sys_sendmsg net/socket.c:2667 [en línea] __do_sys_sendmsg net/socket.c:2676 [en línea] __se_sys_sendmsg net/socket.c:2674 [en línea] __x64_sys_sendmsg+0x307/0x490 net/socket.c:2674 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0x44/0x110 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x63/0x6b CPU: 0 PID: 5037 Comm: syz-executor166 No contaminado 6.7.0-rc7-syzkaller-00003-gfbafc3e621c3 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 17/11/2023 ======================================================= Este problema se produce porque el búfer skb es demasiado pequeño, y su asignación actual está alineada. Esto oculta un problema real, que es que nr_route_frame no valida el tamaño del búfer antes de usarlo. Solucione este problema comprobando skb->len antes de acceder a cualquier campo en skb->data. Encontrado por Linux Verification Center (linuxtesting.org) con Syzkaller.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nft_set_hash: lectura atómica no alineada en la estructura nft_set_ext El acceso al campo genmask en la estructura nft_set_ext da como resultado una lectura atómica no alineada: [72.130109] No se puede gestionar la solicitud de paginación del kernel en la dirección virtual ffff0000c2bb708c [72.131036] Información de cancelación de memoria: [72.131213] ESR = 0x0000000096000021 [72.131446] EC = 0x25: DABT (EL actual), IL = 32 bits [72.132209] SET = 0, FnV = 0 [72.133216] EA = 0, S1PTW = 0 [ 72.134080] FSC = 0x21: error de alineación [ 72.135593] Información de cancelación de datos: [ 72.137194] ISV = 0, ISS = 0x00000021, ISS2 = 0x00000000 [ 72.142351] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 72.145989] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 72.150115] swapper pgtable: páginas de 4k, VA de 48 bits, pgdp=0000000237d27000 [ 72.154893] [ffff0000c2bb708c] pgd=0000000000000000, p4d=180000023ffff403, pud=180000023f84b403, pmd=180000023f835403, +pte=0068000102bb7707 [ 72.163021] Error interno: Oops: 0000000096000021 [#1] SMP [...] [ 72.170041] CPU: 7 UID: 0 PID: 54 Comm: kworker/7:0 Contaminado: GE 6.13.0-rc3+ #2 [ 72.170509] Contaminado: [E]=UNSIGNED_MODULE [ 72.170720] Nombre del hardware: QEMU QEMU Virtual Máquina, BIOS edk2-stable202302-for-qemu 03/01/2023 [ 72.171192] Cola de trabajo: events_power_efficient nft_rhash_gc [nf_tables] [ 72.171552] pstate: 21400005 (nzCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) [ 72.171915] pc : nft_rhash_gc+0x200/0x2d8 [nf_tables] [ 72.172166] lr : nft_rhash_gc+0x128/0x2d8 [nf_tables] [ 72.172546] sp : ffff800081f2bce0 [ 72.172724] x29: ffff800081f2bd40 x28: ffff0000c2bb708c x27: 0000000000000038 [ 72.173078] x26: ffff0000c6780ef0 x25: ffff0000c643df00 x24: ffff0000c6778f78 [ 72.173431] x23: 000000000000001a x22: ffff0000c4b1f000 x21: ffff0000c6780f78 [ 72.173782] x20: ffff0000c2bb70dc x19: ffff0000c2bb7080 x18: 0000000000000000 [ 72.174135] x17: ffff0000c0a4e1c0 x16: 0000000000003000 x15: 0000ac26d173b978 [ 72.174485] x14: ffffffffffffffffff x13: 0000000000000030 x12: ffff0000c6780ef0 [ 72.174841] x11: 000000000000000 x10: ffff800081f2bcf8 x9 : ffff0000c3000000 [ 72.175193] x8 : 00000000000004be x7 : 0000000000000000 x6 : 0000000000000000 [ 72.175544] x5 : 0000000000000040 x4 : ffff0000c3000010 x3 : 0000000000000000 [ 72.175871] x2 : 0000000000003a98 x1 : ffff0000c2bb708c x0 : 0000000000000004 [ 72.176207] Rastreo de llamadas: [ 72.176316] nft_rhash_gc+0x200/0x2d8 [nf_tables] (P) [ 72.176653] process_one_work+0x178/0x3d0 [ 72.176831] worker_thread+0x200/0x3f0 [ 72.176995] kthread+0xe8/0xf8 [ 72.177130] ret_from_fork+0x10/0x20 [ 72.177289] Código: 54fff984 d503201f d2800080 91003261 (f820303f) [ 72.177557] ---[ fin de seguimiento 0000000000000000 ]--- Alinear estructura nft_set_ext al tamaño de palabra para abordar esto y documentarlo. pahole informa que esto aumenta el tamaño de los elementos para rhash y pipapo en 8 bytes en x86_64.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvmet: No desborde subsysnqn nvmet_root_discovery_nqn_store trata la cadena subsysnqn como un búfer de tamaño fijo, aunque se le asigna dinámicamente el tamaño de la cadena. Cree una nueva cadena con kstrndup en lugar de usar el búfer anterior.

El complemento Elementor Addon Elements para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.13.10 incluida a través de la función "render" en modules/modal-popup/widgets/modal-popup.php. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan datos confidenciales de plantillas privadas, pendientes, programadas y en borrador.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/rtrs: garantizar que 'ib_sge list' sea accesible Mueva la declaración de la variable 'ib_sge list' fuera del bloque 'always_invalidate' para garantizar que permanezca accesible para su uso en toda la función. Anteriormente, 'ib_sge list' se declaraba dentro del bloque 'always_invalidate', lo que limitaba su accesibilidad y luego causaba un 'BUG: kernel NULL pointer dereference'[1]. ? __die_body.cold+0x19/0x27 ? page_fault_oops+0x15a/0x2d0 ? search_module_extables+0x19/0x60 ? search_bpf_extables+0x5f/0x80 ? exc_page_fault+0x7e/0x180 ? asm_exc_page_fault+0x26/0x30 ? rxe_pool_get_index+0x4b/0x80 [rdma_rxe] copy_data+0xa5/0x230 [rdma_rxe] rxe_requester+0xd9b/0xf70 [rdma_rxe] ? finish_task_switch.isra.0+0x99/0x2e0 rxe_sender+0x13/0x40 [rdma_rxe] do_task+0x68/0x1e0 [rdma_rxe] process_one_work+0x177/0x330 worker_thread+0x252/0x390 ? __pfx_worker_thread+0x10/0x10 Este cambio garantiza que la variable esté disponible para operaciones posteriores que la requieran. [1] https://lore.kernel.org/linux-rdma/6a1f3e8f-deb0-49f9-bc69-a9b03ecfcda7@fujitsu.com/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: wwan: t7xx: Solución del problema de tiempo de espera del comando FSM Cuando el controlador procesa el comando de cambio de estado interno, utiliza un hilo asincrónico para procesar la operación del comando. Si el hilo principal detecta que se agotó el tiempo de espera de la tarea, el hilo asincrónico entrará en pánico al ejecutar la notificación de finalización porque se liberó el objeto de finalización del hilo principal. ERROR: no se puede gestionar el error de página para la dirección: fffffffffffffff8 PGD 1f283a067 P4D 1f283a067 PUD 1f283c067 PMD 0 Oops: 0000 [#1] PREEMPT SMP NOPTI RIP: 0010:complete_all+0x3e/0xa0 [...] Seguimiento de llamadas: ? __die_body+0x68/0xb0 ? page_fault_oops+0x379/0x3e0 ? exc_page_fault+0x69/0xa0 ? asm_exc_page_fault+0x22/0x30 ? complete_all+0x3e/0xa0 fsm_main_thread+0xa3/0x9c0 [mtk_t7xx (HASH:1400 5)] ? __pfx_autoremove_wake_function+0x10/0x10 kthread+0xd8/0x110 ? __pfx_fsm_main_thread+0x10/0x10 [mtk_t7xx (HASH:1400 5)] ? __pfx_kthread+0x10/0x10 ret_from_fork+0x38/0x50 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1b/0x30 [...] CR2: fffffffffffffff8 ---[ fin del seguimiento 000000000000000 ]--- Utilice el contador de referencia para garantizar una liberación segura como sugiere Sergey: https://lore.kernel.org/all/da90f64c-260a-4329-87bf-1f9ff20a5951@gmail.com/

Se encontró un fallo en la auditoría de la API de FreeIPA, donde envía toda la línea de comandos de FreeIPA a journalctl. Como consecuencia, durante el proceso de instalación de FreeIPA, filtra inadvertidamente las credenciales de usuario administrativo, incluida la contraseña de administrador, a la base de datos del diario. En el peor de los casos, donde el registro del diario está centralizado, los usuarios con acceso a él pueden tener acceso indebido a las credenciales de administrador de FreeIPA.

El complemento NitroPack para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la acción AJAX 'nitropack_dismiss_notice_forever' en todas las versiones hasta la 1.17.0 inclusive. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen opciones arbitrarias a un valor fijo de '1' que puede activar ciertas opciones (por ejemplo, habilitar el registro de usuario) o modificar ciertas opciones de una manera que conduzca a una condición de denegación de servicio.

El complemento NitroPack para WordPress es vulnerable a actualizaciones transitorias arbitrarias no autorizadas debido a una verificación de capacidad faltante en la función nitropack_rml_notification en todas las versiones hasta la 1.17.0 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, actualicen valores transitorios arbitrarios. Tenga en cuenta que estos valores transitorios solo se pueden actualizar a números enteros y no a valores arbitrarios.

El complemento PDF para WPForms + Drag and Drop Template Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto yeepdf_dotab del complemento en todas las versiones hasta la 4.6.0 incluida debido a una desinfección de entrada y a un escape de salida insuficiente en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

Una implementación inadecuada de Fenced Frames en Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto obtuviera información potencialmente confidencial del sistema a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)