Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: stm32: comprobar el valor devuelto por devm_kasprintf() devm_kasprintf() puede devolver un puntero NULL en caso de error, pero este valor devuelto no se comprueba. Corrija esta falla y compruebe el valor devuelto. Encontrado por revisión de código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: nuvoton: corrige una liberación doble en ma35_pinctrl_dt_node_to_map_func() 'new_map' se asigna utilizando devm_* que se encarga de liberar los datos asignados al quitar el dispositivo, llamar a .dt_free_map = pinconf_generic_dt_free_map libera el mapa dos veces mientras pinconf_generic_dt_free_map() llama a pinctrl_utils_free_map(). Corrija esto utilizando kcalloc() en lugar de devm_kcalloc() administrado automáticamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: xhci: tegra: fix checked USB2 port number Si la virtualización USB está habilitada, los puertos USB2 se comparten entre todas las funciones virtuales. El número de puerto USB2 que posee un concentrador raíz USB2 en una función virtual puede ser menor que el número total de puertos USB2 compatibles con el controlador Tegra XUSB. El uso del número total de puertos USB2 como número de puerto para verificar todos los valores PORTSC provocaría un acceso no válido a la memoria. [ 116.923438] No se puede manejar la solicitud de paginación del núcleo en la dirección virtual 006c622f7665642f ... [ 117.213640] Rastreo de llamadas: [ 117.216783] tegra_xusb_enter_elpg+0x23c/0x658 [ 117.222021] tegra_xusb_runtime_suspend+0x40/0x68 [ 117.227260] pm_generic_runtime_suspend+0x30/0x50 [ 117.232847] __rpm_callback+0x84/0x3c0 [ 117.237038] rpm_suspend+0x2dc/0x740 [ 117.241229] pm_runtime_work+0xa0/0xb8 [ 117.245769] proceso_trabajo_programado+0x24c/0x478 [ 117.251007] subproceso_trabajador+0x23c/0x328 [ 117.255547] kthread+0x104/0x1b0 [ 117.259389] ret_from_fork+0x10/0x20 [ 117.263582] Código: 54000222 f9461ae8 f8747908 b4ffff48 (f9400100)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vt: prevent kernel-infoleak en con_font_get() font.data puede no inicializar todos los espacios de memoria dependiendo de la implementación de vc->vc_sw->con_font_get. Esto puede causar una fuga de información, por lo que para evitarlo, es más seguro modificarlo para inicializar el espacio de memoria asignado a 0 y, por lo general, no afecta el rendimiento general del sistema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring/sqpoll: asegurarse de que el estado de la tarea sea TASK_RUNNING al ejecutar task_work Cuando sqpoll sale y cancela elementos de trabajo pendientes, es posible que deba ejecutar task_work. Si esto sucede desde dentro de io_uring_cancel_generic(), es posible que esté esperando la cola de espera de io_uring_task. Esto da como resultado el siguiente splat del programador, ya que se puede intentar capturar el mutex de anillo mientras se está en un estado TASK_INTERRUPTIBLE. Asegúrese de que el estado de la tarea esté configurado adecuadamente para eso, al igual que lo que se hace para los otros casos en io_run_task_work(). no llame a operaciones de bloqueo cuando !TASK_RUNNING; estado=1 establecido en [<0000000029387fd2>] prepare_to_wait+0x88/0x2fc ADVERTENCIA: CPU: 6 PID: 59939 en kernel/sched/core.c:8561 __might_sleep+0xf4/0x140 Módulos vinculados: CPU: 6 UID: 0 PID: 59939 Comm: iou-sqp-59938 No contaminado 6.12.0-rc3-00113-g8d020023b155 #7456 Nombre del hardware: linux,dummy-virt (DT) pstate: 61400005 (nZCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) pc : __might_sleep+0xf4/0x140 lr : __might_sleep+0xf4/0x140 sp : ffff80008c5e7830 x29: ffff80008c5e7830 x28: ffff0000d93088c0 x27: ffff60001c2d7230 x26: dfff800000000000 x25: ffff0000e16b9180 x24: ffff80008c5e7a50 x23: 1ffff000118bcf4a x22: ffff0000e16b9180 x21: ffff0000e16b9180 x20: 000000000000011b x19: ffff80008310fac0 x18: 1ffff000118bcd90 x17: 30303c5b20746120 x16: 74657320313d6574 x15: 0720072007200720 x14: 0720072007200720 x13: 0720072007200720 x12: ffff600036c64f0b x11: 1fffe00036c64f0a x10: ffff600036c64f0a x9: dfff800000000000 x8: 00009fffc939b0f6 x7: ffff0001b6327853 x6 : 0000000000000001 x5 : ffff0001b6327850 x4 : ffff600036c64f0b x3 : ffff8000803c35bc x2 : 000000000000000 x1 : 0000000000000000 x0 : ffff0000e16b9180 Rastreo de llamadas: __might_sleep+0xf4/0x140 mutex_lock+0x84/0x124 io_handle_tw_list+0xf4/0x260 tctx_task_work_run+0x94/0x340 io_run_task_work+0x1ec/0x3c0 io_uring_cancel_generic+0x364/0x524 io_sq_thread+0x820/0x124c ret_from_fork+0x10/0x20

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: apple: comprobar el valor devuelto por devm_kasprintf() devm_kasprintf() puede devolver un puntero NULL en caso de error, pero este valor devuelto no se comprueba. Corrija esta falla y compruebe el valor devuelto. Encontrado por revisión de código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/bugs: Usar selector de segmento de código para el operando VERW Robert Gill informó lo siguiente: #GP en modo de 32 bits cuando el software dosemu estaba ejecutando la llamada al sistema vm86(): error de protección general: 0000 [#1] PREEMPT SMP CPU: 4 PID: 4610 Comm: dosemu.bin No contaminado 6.6.21-gentoo-x86 #1 Nombre del hardware: Dell Inc. PowerEdge 1950/0H723K, BIOS 2.7.0 30/10/2010 EIP: restore_all_switch_stack+0xbe/0xcf EAX: 00000000 EBX: 00000000 ECX: 00000000 EDX: 00000000 ESI: 00000000 EDI: 00000000 EBP: 00000000 ESP: ff8affdc DS: 0000 ES: 0000 FS: 0000 GS: 0033 SS: 0068 EFLAGS: 00010046 CR0: 80050033 CR2: 00c2101c CR3: 04b6d000 CR4: 000406d0 Seguimiento de llamadas: show_regs+0x70/0x78 die_addr+0x29/0x70 exc_general_protection+0x13c/0x348 exc_bounds+0x98/0x98 handle_exception+0x14d/0x14d exc_bounds+0x98/0x98 restore_all_switch_stack+0xbe/0xcf exc_bounds+0x98/0x98 restore_all_switch_stack+0xbe/0xcf Esto solo sucede en el modo de 32 bits cuando se habilitan las mitigaciones basadas en VERW como MDS/RFDS. Esto se debe a que los registros de segmento con un valor de usuario arbitrario pueden generar #GP al ejecutar VERW. Intel SDM vol. 2C documenta el siguiente comportamiento para la instrucción VERW: #GP(0) - Si la dirección efectiva de un operando de memoria está fuera del límite de segmento CS, DS, ES, FS o GS. La macro CLEAR_CPU_BUFFERS ejecuta la instrucción VERW antes de regresar al espacio de usuario. Use el selector %cs para hacer referencia al operando VERW. Esto garantiza que VERW no genere #GP para un usuario arbitrario %ds. [ mingo: Se corrigió la cadena SOB. ]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tty: n_gsm: Fix use-after-free en gsm_cleanup_mux ERROR: KASAN: slab-use-after-free en gsm_cleanup_mux+0x77b/0x7b0 drivers/tty/n_gsm.c:3160 [n_gsm] Lectura de tamaño 8 en la dirección ffff88815fe99c00 por la tarea poc/3379 CPU: 0 UID: 0 PID: 3379 Comm: poc No contaminado 6.11.0+ #56 Nombre del hardware: VMware, Inc. VMware Virtual Platform/440BX Desktop Reference Platform, BIOS 6.00 12/11/2020 Seguimiento de llamadas: gsm_cleanup_mux+0x77b/0x7b0 controladores/tty/n_gsm.c:3160 [n_gsm] __pfx_gsm_cleanup_mux+0x10/0x10 controladores/tty/n_gsm.c:3124 [n_gsm] __pfx_sched_clock_cpu+0x10/0x10 kernel/sched/clock.c:389 update_load_avg+0x1c1/0x27b0 kernel/sched/fair.c:4500 __pfx_min_vruntime_cb_rotate+0x10/0x10 kernel/sched/fair.c:846 __rb_insert_augmented+0x492/0xbf0 lib/rbtree.c:161 gsmld_ioctl+0x395/0x1450 controladores/tty/n_gsm.c:3408 [n_gsm] _raw_spin_lock_irqsave+0x92/0xf0 arquitectura/x86/include/asm/atomic.h:107 __pfx_gsmld_ioctl+0x10/0x10 controladores/tty/n_gsm.c:3822 [n_gsm] ktime_get+0x5e/0x140 núcleo/tiempo/tiempo de mantenimiento.c:195 ldsem_down_read+0x94/0x4e0 arquitectura/x86/include/asm/atomic64_64.h:79 __pfx_ldsem_down_read+0x10/0x10 controladores/tty/tty_ldsem.c:338 __pfx_do_vfs_ioctl+0x10/0x10 fs/ioctl.c:805 tty_ioctl+0x643/0x1100 drivers/tty/tty_io.c:2818 Asignado por la tarea 65: gsm_data_alloc.constprop.0+0x27/0x190 drivers/tty/n_gsm.c:926 [n_gsm] gsm_send+0x2c/0x580 drivers/tty/n_gsm.c:819 [n_gsm] gsm1_receive+0x547/0xad0 drivers/tty/n_gsm.c:3038 [n_gsm] gsmld_receive_buf+0x176/0x280 drivers/tty/n_gsm.c:3609 [n_gsm] tty_ldisc_receive_buf+0x101/0x1e0 controladores/tty/tty_buffer.c:391 puerto_tty_default_receive_buf+0x61/0xa0 controladores/tty/tty_port.c:39 vaciado_a_ldisc+0x1b0/0x750 controladores/tty/tty_buffer.c:445 proceso_trabajos_programados+0x2b0/0x10d0 kernel/workqueue.c:3229 subproceso_trabajador+0x3dc/0x950 kernel/workqueue.c:3391 kthread+0x2a3/0x370 kernel/kthread.c:389 ret_de_la_bifurcación+0x2d/0x70 arch/x86/kernel/process.c:147 ret_de_la_bifurcación_asm+0x1a/0x30 arch/x86/entry/entry_64.S:257 Liberado por la tarea 3367: kfree+0x126/0x420 mm/slub.c:4580 gsm_cleanup_mux+0x36c/0x7b0 drivers/tty/n_gsm.c:3160 [n_gsm] gsmld_ioctl+0x395/0x1450 drivers/tty/n_gsm.c:3408 [n_gsm] tty_ioctl+0x643/0x1100 drivers/tty/tty_io.c:2818 [Análisis] gsm_msg en tx_ctrl_list o tx_data_list de gsm_mux puede ser liberado por múltiples subprocesos a través de ioctl, lo que lleva a la aparición de uaf. Protéjalo con cerradura gsm tx.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: parport: Solución adecuada para el acceso fuera de los límites a matrices La solución reciente para los accesos fuera de los límites a matrices reemplazó las llamadas sprintf() ciegamente con snprintf(). Sin embargo, dado que snprintf() devuelve el tamaño que se imprimirá, no el tamaño de salida real, el cálculo de la longitud aún puede superar el límite dado. Utilice scnprintf() en lugar de snprintf(), que devuelve las letras de salida reales, para abordar el posible acceso fuera de los límites correctamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: ISO: Fix multiple init when debugfs is disabled Si bt_debugfs no se crea correctamente, lo que sucede si CONFIG_DEBUG_FS o CONFIG_DEBUG_FS_ALLOW_ALL no están configurados, entonces iso_init() regresa antes y no configura iso_inited como verdadero. Esto significa que una llamada posterior a iso_init() dará como resultado llamadas duplicadas a proto_register(), bt_sock_register(), etc. Con CONFIG_LIST_HARDENED y CONFIG_BUG_ON_DATA_CORRUPTION habilitados, la llamada duplicada a proto_register() activa este BUG(): list_add double add: new=ffffffffc0b280d0, prev=ffffffffbab56250, next=ffffffffc0b280d0. ------------[ cortar aquí ]------------ ¡ERROR del kernel en lib/list_debug.c:35! Ups: código de operación no válido: 0000 [#1] PREEMPT SMP PTI CPU: 2 PID: 887 Comm: bluetoothd No contaminado 6.10.11-1-ao-desktop #1 RIP: 0010:__list_add_valid_or_report+0x9a/0xa0 ... __list_add_valid_or_report+0x9a/0xa0 proto_register+0x2b5/0x340 iso_init+0x23/0x150 [bluetooth] set_iso_socket_func+0x68/0x1b0 [bluetooth] kmem_cache_free+0x308/0x330 hci_sock_sendmsg+0x990/0x9e0 [bluetooth] __sock_sendmsg+0x7b/0x80 sock_write_iter+0x9a/0x110 do_iter_readv_writev+0x11d/0x220 vfs_writev+0x180/0x3e0 do_writev+0xca/0x100 ... Este cambio elimina el retorno anticipado. La comprobación de que iso_debugfs sea NULL no era necesaria, siempre es NULL cuando iso_inited es falso.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: Llamada a iso_exit() en la descarga del módulo Si se ha llamado a iso_init(), se debe llamar a iso_exit() en la descarga del módulo. Sin eso, el struct proto que iso_init() registró con proto_register() se vuelve inválido, lo que podría causar problemas impredecibles más adelante. En mi caso, con CONFIG_LIST_HARDENED y CONFIG_BUG_ON_DATA_CORRUPTION habilitados, cargar el módulo nuevamente generalmente desencadena este BUG(): corrupción de list_add. next->prev debería ser prev (ffffffffb5355fd0), pero era 0000000000000068. (next=ffffffffc0a010d0). ------------[ cortar aquí ]------------ ¡ERROR del kernel en lib/list_debug.c:29! Ups: código de operación no válido: 0000 [#1] PREEMPT SMP PTI CPU: 1 PID: 4159 Comm: modprobe No contaminado 6.10.11-4+bt2-ao-desktop #1 RIP: 0010:__list_add_valid_or_report+0x61/0xa0 ... __list_add_valid_or_report+0x61/0xa0 proto_register+0x299/0x320 hci_sock_init+0x16/0xc0 [bluetooth] bt_init+0x68/0xd0 [bluetooth] __pfx_bt_init+0x10/0x10 [bluetooth] do_one_initcall+0x80/0x2f0 do_init_module+0x8b/0x230 __do_sys_init_module+0x15f/0x190 hacer_llamada_al_sistema_64+0x68/0x110 ...

Se ha encontrado una vulnerabilidad clasificada como problemática en LinZhaoguan pb-cms hasta la versión 2.0.1. Este problema afecta a algunos procesos desconocidos del archivo /admin#article/edit?id=2 del componente Edit Article Handler. La manipulación conduce a Cross Site Scripting. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.