Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: devuelve -EINVAL cuando namelen es 0 Cuando tenemos un main.sqlite dañado en /var/lib/nfs/nfsdcld/, puede resultar en que namelen sea 0, lo que hará que memdup_user() devuelva ZERO_SIZE_PTR. Cuando accedemos al name.data al que se le ha asignado el valor ZERO_SIZE_PTR en nfs4_client_to_reclaim(), se activa la desreferencia de puntero nulo. [ T1205] ========================================================================= [ T1205] ERROR: KASAN: null-ptr-deref en nfs4_client_to_reclaim+0xe9/0x260 [ T1205] Lectura de tamaño 1 en la dirección 0000000000000010 por la tarea nfsdcld/1205 [ T1205] [ T1205] CPU: 11 PID: 1205 Comm: nfsdcld No contaminado 5.10.0-00003-g2c1423731b8d #406 [ T1205] Hardware nombre: PC estándar QEMU (i440FX + PIIX, 1996), BIOS ?-20190727_073836-buildvm-ppc64le-16.ppc.fedoraproject.org-3.fc31 01/04/2014 [ T1205] Seguimiento de llamadas: [ T1205] dump_stack+0x9a/0xd0 [ T1205] ? nfs4_client_to_reclaim+0xe9/0x260 [ T1205] __kasan_report.cold+0x34/0x84 [ T1205] ? nfs4_client_to_reclaim+0xe9/0x260 [ T1205] kasan_report+0x3a/0x50 [ T1205] nfs4_client_to_reclaim+0xe9/0x260 [ T1205] ? nfsd4_release_lockowner+0x410/0x410 [ T1205] cld_pipe_downcall+0x5ca/0x760 [ T1205] ? nfsd4_cld_tracking_exit+0x1d0/0x1d0 [ T1205] ? down_write_killable_nested+0x170/0x170 [ T1205] ? avc_policy_seqno+0x28/0x40 [ T1205] ? ktime_get_coarse_real_ts64+0xfe/0x110 [ T1205] ? ktime_get_coarse_real_ts64+0xa2/0x110 [ T1205] do_syscall_64+0x33/0x40 [ T1205] entry_SYSCALL_64_after_hwframe+0x67/0xd1 [ T1205] RIP: 0033:0x7fdbdb761bc7 [ T1205] Código: 0f 00 f7 d8 64 89 02 48 c7 c0 ff ff ff ff eb b7 0f 1f 00 f3 0f 1e fa 64 8b 04 25 18 00 00 00 85 c0 75 10 b8 01 00 00 00 0f 05 <48> 3d 00 f0 ff ff 77 514 [ T1205] RSP: 002b:00007fff8c4b7248 EFLAGS: 00000246 ORIG_RAX: 0000000000000001 [ T1205] RAX: ffffffffffffffda RBX: 000000000000042b RCX: 00007fdbdb761bc7 [ T1205] RDX: 000000000000042b RSI: 00007fff8c4b75f0 RDI: 000000000000008 [ T1205] RBP: 00007fdbdb761bb0 R08: 000000000000000 R09: 00000000000000001 [ T1205] R10: 00000000000000000 R11: 00000000000000246 R12: 0000000000000042b [ T1205] R13: 0000000000000008 R14: 00007fff8c4b75f0 R15: 0000000000000000 [ T1205] ========================================================================= Arréglelo comprobando namelen.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_reject_ipv6: corrección de nf_reject_ip6_tcphdr_put() syzbot informó que nf_reject_ip6_tcphdr_put() posiblemente estaba enviando basura en los cuatro bits tcp reservados (th->res1) Utilice skb_put_zero() para borrar todo el encabezado TCP, como se hace en nf_reject_ip_tcphdr_put() ERROR: KMSAN: valor no inicializado en nf_reject_ip6_tcphdr_put+0x688/0x6c0 net/ipv6/netfilter/nf_reject_ipv6.c:255 nf_reject_ip6_tcphdr_put+0x688/0x6c0 net/ipv6/netfilter/nf_reject_ipv6.c:255 nf_send_reset6+0xd84/0x15b0 net/ipv6/netfilter/nf_reject_ipv6.c:344 nft_reject_inet_eval+0x3c1/0x880 net/netfilter/nft_reject_inet.c:48 evaluación_operaciones_llamada_expr net/netfilter/nf_tables_core.c:240 [en línea] nft_do_chain+0x438/0x22a0 net/netfilter/nf_tables_core.c:288 nft_do_chain_inet+0x41a/0x4f0 net/netfilter/nft_chain_filter.c:161 nf_hook_entry_hookfn incluye/linux/netfilter.h:154 [en línea] nf_hook_slow+0xf4/0x400 net/netfilter/core.c:626 nf_hook incluye/linux/netfilter.h:269 [en línea] NF_HOOK incluye/linux/netfilter.h:312 [en línea] ipv6_rcv+0x29b/0x390 net/ipv6/ip6_input.c:310 __netif_receive_skb_one_core net/core/dev.c:5661 [en línea] __netif_receive_skb+0x1da/0xa00 net/core/dev.c:5775 process_backlog+0x4ad/0xa50 net/core/dev.c:6108 __napi_poll+0xe7/0x980 net/core/dev.c:6772 napi_poll net/core/dev.c:6841 [en línea] net_rx_action+0xa5a/0x19b0 net/core/dev.c:6963 handle_softirqs+0x1ce/0x800 kernel/softirq.c:554 __do_softirq+0x14/0x1a kernel/softirq.c:588 do_softirq+0x9a/0x100 kernel/softirq.c:455 __local_bh_enable_ip+0x9f/0xb0 kernel/softirq.c:382 local_bh_enable include/linux/bottom_half.h:33 [en línea] rcu_read_unlock_bh incluir/linux/rcupdate.h:908 [en línea] __dev_queue_xmit+0x2692/0x5610 net/core/dev.c:4450 dev_queue_xmit incluir/linux/netdevice.h:3105 [en línea] neigh_resolve_output+0x9ca/0xae0 net/core/neighbour.c:1565 neigh_output incluir/net/neighbour.h:542 [en línea] ip6_finish_output2+0x2347/0x2ba0 net/ipv6/ip6_output.c:141 __ip6_finish_output net/ipv6/ip6_output.c:215 [en línea] ip6_finish_output+0xbb8/0x14b0 net/ipv6/ip6_output.c:226 NF_HOOK_COND incluye/linux/netfilter.h:303 [en línea] ip6_output+0x356/0x620 net/ipv6/ip6_output.c:247 dst_output incluye/net/dst.h:450 [en línea] NF_HOOK incluye/linux/netfilter.h:314 [en línea] ip6_xmit+0x1ba6/0x25d0 net/ipv6/ip6_output.c:366 inet6_csk_xmit+0x442/0x530 net/ipv6/inet6_connection_sock.c:135 __tcp_transmit_skb+0x3b07/0x4880 net/ipv4/tcp_output.c:1466 tcp_transmit_skb net/ipv4/tcp_output.c:1484 [en línea] tcp_connect+0x35b6/0x7130 net/ipv4/tcp_output.c:4143 tcp_v6_connect+0x1bcc/0x1e40 net/ipv6/tcp_ipv6.c:333 __inet_stream_connect+0x2ef/0x1730 net/ipv4/af_inet.c:679 inet_stream_connect+0x6a/0xd0 net/ipv4/af_inet.c:750 __sys_connect_file net/socket.c:2061 [en línea] __sys_connect+0x606/0x690 net/socket.c:2078 __do_sys_connect net/socket.c:2088 [en línea] __se_sys_connect net/socket.c:2085 [en línea] __x64_sys_connect+0x91/0xe0 net/socket.c:2085 x64_sys_call+0x27a5/0x3ba0 arch/x86/include/generated/asm/syscalls_64.h:43 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Uninit se almacenó en la memoria en: nf_reject_ip6_tcphdr_put+0x60c/0x6c0 net/ipv6/netfilter/nf_reject_ipv6.c:249 nf_send_reset6+0xd84/0x15b0 net/ipv6/netfilter/nf_reject_ipv6.c:344 nft_reject_inet_eval+0x3c1/0x880 net/netfilter/nft_reject_inet.c:48 evaluación_operaciones_llamada_expr net/netfilter/nf_tables_core.c:240 [en línea] nft_do_chain+0x438/0x22a0 net/netfilter/nf_tables_core.c:288 nft_do_chain_inet+0x41a/0x4f0 net/netfilter/nft_chain_filter.c:161 nf_hook_entry_hookfn incluye/linux/netfilter.h:154 [en línea] nf_hook_slow+0xf4/0x400 net/netfilter/core.c:626 nf_hook incluye/linux/netfilter.h:269 [en línea] NF_HOOK incluye/linux/netfilter.h:312 [en línea] ipv6_rcv+0x29b/0x390 net/ipv6/ip6_input.c:310 __netif_receive_skb_one_core ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Se corrige el use after free en bpf_uprobe_multi_link_attach() Si bpf_link_prime() fallo, bpf_uprobe_multi_link_attach() va a la etiqueta error_free y libera la matriz de bpf_uprobe sin llamar a bpf_uprobe_unregister(). Esto filtra bpf_uprobe->uprobe y, lo que es peor, libera bpf_uprobe->consumer sin eliminarlo de la lista uprobe->consumers.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/hugetlb.c: corrección del UAF de vma en la ruta de error hugetlb Syzbot informa un UAF en hugetlb_fault(). Esto sucede porque vmf_anon_prepare() podría eliminar el bloqueo por VMA y permitir que se libere el VMA actual antes de que se llame a hugetlb_vma_unlock_read(). Podemos solucionar esto utilizando una versión modificada de vmf_anon_prepare() que no libere el bloqueo de VMA en caso de error y luego lo liberemos nosotros mismos después de hugetlb_vma_unlock_read().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: exfat: resuelve la pérdida de memoria de exfat_create_upcase_table() Si exfat_load_upcase_table llega al final y devuelve -EINVAL, la memoria asignada no se libera y mientras exfat_load_default_upcase_table asigna más memoria, lo que provoca una pérdida de memoria. Aquí hay un enlace al informe de fallos de syzkaller que ilustra este problema: https://syzkaller.appspot.com/text?tag=CrashReport&x=1406c201980000

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: icmp: cambia el orden de los límites de velocidad Los mensajes ICMP están limitados por velocidad: después de las confirmaciones culpables, se aplican los dos limitadores de velocidad en este orden: 1) límite de velocidad de todo el host (icmp_global_allow()) 2) límite de velocidad por destino (basado en inetpeer) Para evitar ataques de canales secundarios, primero debemos aplicar la comprobación por destino. Este parche realiza el siguiente cambio: 1) icmp_global_allow() comprueba si se ha alcanzado el límite de todo el host. Pero aún no se han consumido los créditos. Esto se pospone a 3) 2) Se comprueba/actualiza el límite por destino. Esto podría agregar un nuevo nodo en el árbol inetpeer. 3) icmp_global_consume() consume tokens si las operaciones anteriores tuvieron éxito. Esto significa que el límite de velocidad de todo el host sigue siendo eficaz para mantener pequeño el árbol inetpeer incluso bajo DDOS. Como beneficio adicional, eliminé icmp_global.lock ya que la ruta rápida puede usar una operación sin bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vfs: arregla la ejecución entre evice_inodes() y find_inode()&iput() Hola a todos Recientemente noté un error[1] en btrfs, después de investigarlo y creo que es una ejecución en vfs. Supongamos que hay un inodo (es decir, ino 261) con i_count 1 que es llamado por iput(), y hay un hilo concurrente que llama a generic_shutdown_super(). cpu0: cpu1: iput() // i_count es 1 ->spin_lock(inode) ->dec i_count a 0 ->iput_final() generic_shutdown_super() ->__inode_add_lru() ->evict_inodes() // por alguna razón[2] ->if (atomic_read(inode->i_count)) continue; // regresar antes // el inodo 261 pasó la verificación anterior // list_lru_add_obj() // y luego programar la salida ->spin_unlock() // nota aquí: el inodo 261 // todavía estaba en la lista sb y la lista hash, // y I_FREEING|I_WILL_FREE no se había establecido btrfs_iget() // después de algunas llamadas de función ->find_inode() // encontró el inodo 261 anterior ->spin_lock(inode) // verificó I_FREEING|I_WILL_FREE // y pasó ->__iget() ->spin_unlock(inode) // programó de regreso ->spin_lock(inode) // verificó los indicadores (I_NEW|I_FREEING|I_WILL_FREE), // pasó y estableció I_FREEING iput() ->spin_unlock(inode) ->spin_lock(inode) ->evict() // dec i_count a 0 ->iput_final() ->spin_unlock() ->evict() Ahora, tenemos dos subprocesos expulsando simultáneamente el mismo inodo, lo que puede activar la declaración BUG(inode->i_state & I_CLEAR) tanto dentro de clear_inode() como de iput(). Para corregir el error, vuelva a verificar inode->i_count después de mantener i_lock. Porque en la mayoría de los escenarios, la primera verificación es válida y se puede reducir la sobrecarga de spin_lock(). Si hay algún malentendido, hágamelo saber, gracias. [1]: https://lore.kernel.org/linux-btrfs/000000000000eabe1d0619c48986@google.com/ [2]: La razón podría ser 1. SB_ACTIVE fue eliminado o 2. mapping_shrinkable() devolvió falso cuando reproduje el error.

Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en FunnelKit Automation By Autonami permite la inyección SQL. Este problema afecta a Automation By Autonami: desde n/a hasta 3.1.2.

Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Latepoint LatePoint permite Cross-Site Request Forgery. Este problema afecta a LatePoint: desde n/a hasta 4.9.91.

El complemento TS Poll de WordPress anterior a la versión 2.4.0 no desinfecta ni escapa un parámetro antes de usarlo en una declaración SQL, lo que permite a los administradores realizar ataques de inyección SQL

Administrative Management System de Wellchoose tiene una vulnerabilidad de inyección de comandos del sistema operativo, lo que permite a atacantes remotos con privilegios regulares inyectar y ejecutar comandos arbitrarios del sistema operativo.

Administrative Management System de Wellchoose tiene una vulnerabilidad de path traversal, lo que permite a atacantes remotos no autenticados explotar esta vulnerabilidad para descargar archivos arbitrarios en el servidor.