Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: inet6: no deje un puntero sk colgando en inet6_create() sock_init_data() adjunta el puntero sk asignado al objeto sock proporcionado. Si inet6_create() falla más tarde, se libera el objeto sk, pero el objeto sock conserva el puntero sk colgando, lo que puede provocar un use-after-free más adelante. Borre el puntero sk sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: inet: no deje un puntero sk colgando en inet_create() sock_init_data() adjunta el objeto sk asignado al objeto sock proporcionado. Si inet_create() falla más tarde, el objeto sk se libera, pero el objeto sock conserva el puntero colgando, lo que puede crear un use-after-free más tarde. Borre el puntero sk en el objeto sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ieee802154: no deje un puntero sk colgando en ieee802154_create() sock_init_data() adjunta el objeto sk asignado al objeto sock proporcionado. Si ieee802154_create() falla más tarde, el objeto sk asignado se libera, pero el puntero colgando permanece en el objeto sock proporcionado, lo que puede permitir el use-after-free. Borre el puntero sk en el objeto sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: af_can: no deje un puntero sk colgando en can_create() En caso de error, can_create() libera el objeto sk asignado, pero sock_init_data() ya lo ha adjuntado al objeto sock proporcionado. Esto dejará un puntero sk colgando en el objeto sock y puede provocar un uso posterior a la liberación más adelante.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: RFCOMM: evitar dejar el puntero sk colgando en rfcomm_sock_alloc() bt_sock_alloc() adjunta el objeto sk asignado al objeto sock proporcionado. Si rfcomm_dlc_alloc() falla, liberamos el objeto sk, pero dejamos el puntero colgando en el objeto sock, lo que puede provocar un use-after-free. Solucione esto intercambiando las llamadas a bt_sock_alloc() y rfcomm_dlc_alloc().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: L2CAP: no dejar el puntero sk colgando en caso de error en l2cap_sock_create() bt_sock_alloc() asigna el objeto sk y lo adjunta al objeto sock proporcionado. En caso de error, l2cap_sock_alloc() libera el objeto sk, pero el puntero colgando sigue adjunto al objeto sock, lo que puede crear un use-after-free en otro código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: hisi_sas: Crear todos los archivos de volcado durante la inicialización de debugfs Para el debugfs actual de hisi_sas, después de que el usuario active el volcado, el controlador asigna espacio de memoria para guardar la información de registro y crear archivos de debugfs para mostrar la información guardada. En este proceso, los archivos de debugfs creados después de cada volcado. Por lo tanto, cuando se activa el volcado mientras el controlador está desvinculado, se produce el siguiente bloqueo: [67840.853907] No se puede gestionar la desreferencia del puntero NULL del núcleo en la dirección virtual 00000000000000a0 [67840.862947] Información de interrupción de memoria: [67840.865855] ESR = 0x0000000096000004 [67840.869713] EC = 0x25: DABT (EL actual), IL = 32 bits [67840.875125] SET = 0, FnV = 0 [67840.878291] EA = 0, S1PTW = 0 [67840.881545] FSC = 0x04: error de traducción de nivel 0 [67840.886528] Información de cancelación de datos: [67840.889524] ISV = 0, ISS = 0x00000004, ISS2 = 0x00000000 [67840.895117] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [67840.900284] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [67840.905709] pgtable de usuario: páginas de 4k, VA de 48 bits, pgdp=0000002803a1f000 [67840.912263] [00000000000000a0] pgd=0000000000000000, p4d=0000000000000000 [67840.919177] Error interno: Oops: 0000000096000004 [#1] PREEMPT SMP [67840.996435] pstate: 80400009 (Nzcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [67841.003628] pc : down_write+0x30/0x98 [67841.007546] lr : start_creating.part.0+0x60/0x198 [67841.012495] sp : ffff8000b979ba20 [67841.016046] x29: ffff8000b979ba20 x28: 0000000000000010 x27: 0000000000024b40 [67841.023412] x26: 0000000000000012 x25: ffff20202b355ae8 x24: ffff20202b35a8c8 [67841.030779] x23: ffffa36877928208 x22: ffffa368b4972240 x21: ffff8000b979bb18 [67841.038147] x20: ffff00281dc1e3c0 x19: ffffffffffffffffe x18: 0000000000000020 [67841.045515] x17: 00000000000000000 x16: ffffa368b128a530 x15: ffffffffffffffff [67841.052888] x14: ffff8000b979bc18 x13: ffffffffffffffff x12: ffff8000b979bb18 [67841.060263] x11: 000000000000000 x10: 0000000000000000 x9: ffffa368b1289b18 [67841.067640] x8 : 0000000000000012 x7 : 0000000000000000 x6 : 00000000000003a9 [67841.075014] x5 : 0000000000000000 x4 : ffff002818c5cb00 x3 : 0000000000000001 [67841.082388] x2 : 000000000000000 x1 : ffff002818c5cb00 x0 : 00000000000000a0 [67841.089759] Seguimiento de llamadas: [67841.092456] escritura_inactiva+0x30/0x98 [67841.096017] creación_iniciativa.parte.0+0x60/0x198 [67841.100613] creación_directorio_debugfs+0x48/0x1f8 [67841.104950] creación_archivos_debugfs_v3_hw+0x88/0x348 [hisi_sas_v3_hw] [67841.111447] registros_instantáneos_debugfs_v3_hw+0x708/0x798 [hisi_sas_v3_hw] [67841.118111] escritura_activadora_debugfs_v3_hw+0x9c/0x120 [hisi_sas_v3_hw] [67841.125115] escritura de proxy completo+0x68/0xc8 [67841.129175] escritura de vfs+0xd8/0x3f0 [67841.132708] escritura de ksys+0x70/0x108 [67841.136317] escritura de __arm64_sys+0x24/0x38 [67841.140440] llamada al sistema invocada+0x50/0x128 [67841.144385] el0_svc_common.constprop.0+0xc8/0xf0 [67841.149273] do_el0_svc+0x24/0x38 [67841.152773] el0_svc+0x38/0xd8 [67841.156009] el0t_64_sync_handler+0xc0/0xc8 [67841.160361] el0t_64_sync+0x1a4/0x1a8 [67841.164189] Código: b9000882 d2800002 d2800023 f9800011 (c85ffc05) [67841.170443] ---[ fin del seguimiento 000000000000000 ]--- Para solucionar este problema, cree todos los directorios y archivos durante la inicialización de debugfs. De esta manera, el controlador solo necesita asignar espacio de memoria para guardar la información cada vez que el usuario activa el volcado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_conn: usar disable_delayed_work_sync Esto utiliza disable_delayed_work_sync en lugar de cancel_delayed_work_sync, ya que no solo cancela el trabajo en curso sino que también deshabilita el nuevo envío, que se puede deshabilitar ya que el objeto que contiene el trabajo está a punto de liberarse.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Llamar a free_htab_elem() después de htab_unlock_bucket() Para htab de mapas, cuando el mapa se elimina del htab, puede contener la última referencia del mapa. bpf_map_fd_put_ptr() invocará bpf_map_free_id() para liberar el id del elemento del mapa eliminado. Sin embargo, bpf_map_fd_put_ptr() se invoca mientras se mantiene un bloqueo de depósito (raw_spin_lock_t), y bpf_map_free_id() intenta adquirir map_idr_lock (spinlock_t), lo que activa la siguiente advertencia de lockdep: ============================== [ ERROR: Contexto de espera no válido ] 6.11.0-rc4+ #49 No contaminado ----------------------------- test_maps/4881 está intentando bloquear: ffffffff84884578 (map_idr_lock){+...}-{3:3}, en: bpf_map_free_id.part.0+0x21/0x70 otra información que podría ayudarnos a depurar esto: context-{5:5} 2 bloqueos mantenidos por test_maps/4881: #0: ffffffff846caf60 (rcu_read_lock){....}-{1:3}, en: bpf_fd_htab_map_update_elem+0xf9/0x270 #1: ffff888149ced148 (&htab->lockdep_key#2){....}-{2:2}, en: htab_map_update_elem+0x178/0xa80 seguimiento de pila: CPU: 0 UID: 0 PID: 4881 Comm: test_maps No contaminado 6.11.0-rc4+ #49 Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), ... Seguimiento de llamadas: dump_stack_lvl+0x6e/0xb0 dump_stack+0x10/0x20 __lock_acquire+0x73e/0x36c0 lock_acquire+0x182/0x450 _raw_spin_lock_irqsave+0x43/0x70 bpf_map_free_id.part.0+0x21/0x70 bpf_map_put+0xcf/0x110 bpf_map_fd_put_ptr+0x9a/0xb0 free_htab_elem+0x69/0xe0 htab_map_update_elem+0x50f/0xa80 bpf_fd_htab_map_update_elem+0x131/0x270 htab_map_update_elem+0x50f/0xa80 bpf_fd_htab_map_update_elem+0x131/0x270 bpf_map_update_value+0x266/0x380 __sys_bpf+0x21bb/0x36b0 __x64_sys_bpf+0x45/0x60 x64_sys_call+0x1b2a/0x20d0 do_syscall_64+0x5d/0x100 entry_SYSCALL_64_after_hwframe+0x76/0x7e Una forma de corregir la advertencia de lockdep es usar raw_spinlock_t también para map_idr_lock. Sin embargo, bpf_map_alloc_id() invoca idr_alloc_cyclic() después de adquirir map_idr_lock, activará una advertencia de lockdep similar porque el bloqueo del slab (s->cpu_slab->lock) sigue siendo un spinlock. En lugar de cambiar el tipo de map_idr_lock, solucione el problema invocando htab_put_fd_value() después de htab_unlock_bucket(). Sin embargo, solo aplazar la invocación de htab_put_fd_value() no es suficiente, porque los punteros de mapa antiguos en htab de mapas no se pueden guardar durante la eliminación por lotes. Por lo tanto, también aplace la invocación de free_htab_elem(), para que estos elementos a liberar se puedan vincular entre sí de forma similar a lru map. Hay cuatro invocadores para ->map_fd_put_ptr: (1) alloc_htab_elem() (a través de htab_put_fd_value()) Invoca ->map_fd_put_ptr() bajo un raw_spinlock_t. La invocación de htab_put_fd_value() no se puede mover simplemente después de htab_unlock_bucket(), porque el elemento antiguo ya se ha almacenado en htab->extra_elems. Se puede reutilizar inmediatamente después de htab_unlock_bucket() y la invocación de htab_put_fd_value() después de htab_unlock_bucket() puede liberar el elemento recién agregado de manera incorrecta. Por lo tanto, se guarda el puntero del mapa del elemento antiguo para htab de mapas antes de desbloquear el depósito y se libera map_ptr después del desbloqueo. Además del puntero del mapa en el elemento antiguo, se debe hacer lo mismo para los campos especiales en el elemento antiguo también. (2) free_htab_elem() (a través de htab_put_fd_value()) Su llamador incluye __htab_map_lookup_and_delete_elem(), htab_map_delete_elem() y __htab_map_lookup_and_delete_batch(). Para htab_map_delete_elem(), simplemente invoque free_htab_elem() después de htab_unlock_bucket(). Para __htab_map_lookup_and_delete_batch(), al igual que lru map, vinculando el elemento a liberar en la lista node_to_free e invocando free_htab_elem() para estos elementos después del desbloqueo. Es seguro reutilizar batch_flink como el enlace para node_to_free, ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: hisi_sas: Agregar cond_resched() para un modelo sin preempción forzada Para un kernel con un modelo sin preempción forzada, en el escenario donde el expansor está conectado a 12 SSD SAS de alto rendimiento, puede ocurrir el siguiente seguimiento de llamada: [ 214.409199][ C240] watchdog: BUG: soft lockup - ¡CPU #240 atascada durante 22 s! [irq/149-hisi_sa:3211] [214.568533][C240] estado de la página: 60400009 (nZCv daif +PAN -UAO -TCO BTYPE=--) [214.575224][C240] pc: fput_many+0x8c/0xdc [214.579480][C240] lr: fput+0x1c/0xf0 [214.583302][C240] sp: ffff80002de2b900 [214.587298][C240] x29: ffff80002de2b900 x28: ffff1082aa412000 [214.593291][C240] C240] x27: ffff3062a0348c08 x26: ffff80003a9f6000 [ 214.599284][ C240] x25: ffff1062bbac5c40 x24: 0000000000001000 [ 214.605277][ C240] x23: 000000000000000a x22: 0000000000000001 [ 214.611270][ C240] x21: 0000000000001000 x20: 00000000000000000 [ 214.617262][ C240] x19: ffff3062a41ae580 x18: 0000000000010000 [ 214.623255][ C240] x17: 0000000000000001 x16: ffffdb3a6efe5fc0 [ 214.629248][ C240] x15: ffffffffffffffff x14: 0000000003ffffff [ 214.635241][ C240] x13: 000000000000ffff x12: 000000000000029c [ 214.641234][ C240] x11: 0000000000000006 x10: ffff80003a9f7fd0 [ 214.647226][ C240] x9 : ffffdb3a6f0482fc x8 : 0000000000000001 [ 214.653219][ C240] x7 : 0000000000000002 x6 : 0000000000000080 [ 214.659212][ C240] x5 : ffff55480ee9b000 x4 : fffffde7f94c6554 [ 214.665205][ C240] x3 : 0000000000000002 x2 : 0000000000000020 [ 214.671198][ C240] x1 : 0000000000000021 x0 : ffff3062a41ae5b8 [ 214.677191][ C240] Rastreo de llamadas: [ 214.680320][ C240] fput_many+0x8c/0xdc [ 214.684230][ C240] fput+0x1c/0xf0 [ 214.687707][ C240] aio_complete_rw+0xd8/0x1fc [ 214.692225][ C240] blkdev_bio_end_io+0x98/0x140 [ 214.696917][ C240] bio_endio+0x160/0x1bc [ 214.701001][ C240] blk_update_request+0x1c8/0x3bc [ 214.705867][ C240] scsi_end_request+0x3c/0x1f0 [ 214.710471][ C240] scsi_io_completion+0x7c/0x1a0 [ 214.715249][ C240] scsi_finish_command+0x104/0x140 [ 214.720200][ C240] scsi_softirq_done+0x90/0x180 [ 214.724892][ C240] blk_mq_complete_request+0x5c/0x70 [ 214.730016][ C240] scsi_mq_done+0x48/0xac [ 214.734194][ C240] sas_scsi_task_done+0xbc/0x16c [libsas] [ 214.739758][ C240] slot_complete_v3_hw+0x260/0x760 [hisi_sas_v3_hw] [ 214.746185][ C240] cq_thread_v3_hw+0xbc/0x190 [hisi_sas_v3_hw] [ 214.752179][ C240] irq_thread_fn+0x34/0xa4 [ 214.756435][ C240] irq_thread+0xc4/0x130 [ 214.760520][ C240] kthread+0x108/0x13c [ 214.764430][ C240] ret_from_fork+0x10/0x18 Esto se debe a que en el controlador hisi_sas, tanto el gestionador de interrupciones de hardware como el hilo de interrupción se ejecutan en la misma CPU. En el escenario de prueba de rendimiento, la función irq_wait_for_interrupt() siempre devolverá 0 si se producen muchas interrupciones y la CPU se consumirá continuamente. Como resultado, la CPU no puede ejecutar el hilo de vigilancia. Cuando el tiempo de vigilancia excede el tiempo especificado, se produce un seguimiento de llamadas. Para solucionarlo, agregue cond_resched() para ejecutar el hilo de vigilancia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_core: Se corrige el problema de no verificar la longitud de skb en hci_acldata_packet Esto corrige el problema de no verificar si skb realmente contiene un encabezado ACL, de lo contrario, el código puede intentar acceder a alguna memoria no inicializada/inválida más allá del skb->data válido.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: brcmfmac: Fix oops due to NULL pointer dereference in brcmf_sdiod_sglist_rw() Este parche corrige un error de desreferencia de puntero NULL en brcmfmac que ocurre cuando se aplica un valor alto de 'sd_sgentry_align' (por ejemplo, 512) y se envían muchos SKB en cola desde la cola pkt. El problema es la cantidad de entradas en la sgtable preasignada, es nents = max(rxglom_size, txglom_size) + max(rxglom_size, txglom_size) >> 4 + 1. Dado el valor predeterminado [rt]xglom_size=32, en realidad es 35, que es demasiado pequeño. En el peor de los casos, la cola pkt puede terminar con 64 SKB. Esto ocurre cuando se agrega un nuevo SKB para cada SKB original si tailroom no es suficiente para albergar tail_pad. Se necesita al menos una entrada sg para cada SKB. Por lo tanto, eventualmente el "bucle skb_queue_walk" en brcmf_sdiod_sglist_rw puede quedarse sin entradas sg. Esto hace que sg_next devuelva NULL y esto causa el error. El parche establece nents en max(rxglom_size, txglom_size) * 2 para poder gestionar el peor de los casos. Por cierto, esto requiere solo 64-35=29 * 16 (o 20 si CONFIG_NEED_SG_DMA_LENGTH) = 464 bytes adicionales de memoria.