Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: leds: trigger: Anular el registro de los atributos sysfs antes de llamar a desactivar() Los activadores que tienen atributos sysfs específicos del activador normalmente almacenan datos relacionados en datos de activación asignados por la devolución de llamada enable() y liberados por el desactivar() devolución de llamada. Llamar a device_remove_groups() después de llamar a deactivate() deja una ventana donde los atributos sysfs muestran/almacenan funciones que se pueden llamar después de la desactivación y luego operar con los datos de activación recién liberados. Mueva la llamada device_remove_groups() antes de desactivar() para cerrar esta ventana de ejecución. Esto también hace que la ruta de desactivación haga las cosas correctamente en orden inverso a la ruta de activación que llama a la devolución de llamada enable() antes de llamar a device_add_groups().

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: s390/uv: No llamar a folio_wait_writeback() sin una referencia de folio folio_wait_writeback() requiere que no se mantengan bloqueos de giro y que se mantenga una referencia de folio, como está documentado. Después de que eliminemos el PTL, el folio podría liberarse al mismo tiempo. Así que toma una referencia temporal.

El complemento tagDiv Opt-In Builder es vulnerable a la inyección ciega de SQL a través del parámetro 'subscriptionCouponId' a través del endpoint de la API REST 'create_stripe_subscription' en versiones hasta la 1.4.4 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de suficiente preparación en la consulta SQL existente. Esto hace posible que atacantes autenticados con privilegios de nivel de administrador agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.

El complemento tagDiv Opt-In Builder es vulnerable a la inyección ciega de SQL a través del parámetro 'couponId' del endpoint de la API REST 'recreate_stripe_subscription' en versiones hasta la 1.4.4 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de suficiente preparación en la consulta SQL existente. Esto hace posible que atacantes autenticados con privilegios de nivel de administrador agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: crypto: mxs-dcp: asegúrese de que el payload sea cero cuando se usa la ranura de clave. Podríamos perder memoria de pila a través del campo de payload cuando ejecutamos AES con una clave de una de las ranuras de clave del hardware. Solucione este problema asegurándose de que el campo de payload esté establecido en 0 en tales casos. Esto no afecta el caso de uso común cuando la clave se suministra desde la memoria principal a través de el payload del descriptor.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: lpfc: Revisar la rutina lpfc_prep_embed_io con usos de macro endian adecuados. En arquitecturas big endian, es posible ejecutar una desreferencia de puntero de memoria fuera de los límites cuando los objetivos FCP están divididos en zonas. En lpfc_prep_embed_io, memcpy(ptr, fcp_cmnd, sgl->sge_len) hace referencia a un valor sgl->sge_len con formato little endian. Por lo tanto, memcpy puede provocar que los sistemas big endian colapsen. Redefina *sgl ptr como una estructura sli4_sge_le para dejar claro que nos referimos a una estructura de datos con formato little endian. Y actualice la rutina con usos adecuados de la macro le32_to_cpu.

Metform Elementor Contact Form Builder para WordPress es vulnerable a la carga arbitraria de archivos debido a una validación insuficiente del tipo de archivo en versiones hasta la 3.2.4 incluida. Esto permite a los visitantes no autenticados realizar un ataque de "doble extensión" y cargar archivos que contienen una extensión maliciosa pero que terminan con una extensión benigna, lo que puede hacer posible la ejecución remota de código en algunas configuraciones.

Una vulnerabilidad fue encontrada en LimeSurvey 6.3.0-231016 y clasificada como problemática. Una función desconocida del archivo /index.php del componente File Upload es afectada por esta vulnerabilidad. La manipulación del tamaño del argumento conduce a la denegación de servicio. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: mm/huge_memory: evite el caché de páginas de tamaño PMD si es necesario. xarray no puede admitir un tamaño de caché de páginas arbitrario. el tamaño de caché de página más grande y admitido se define como MAX_PAGECACHE_ORDER mediante el commit 099d90642a71 ("mm/filemap: hacer que MAX_PAGECACHE_ORDER sea aceptable para xarray"). Sin embargo, es posible tener una caché de página de 512 MB en la ruta de colapso de la enorme memoria en un sistema ARM64 cuyo tamaño de página base es de 64 KB. La caché de página de 512 MB supera la limitación y aparece una advertencia cuando la entrada de xarray se divide como se muestra en el siguiente ejemplo. [root@dhcp-10-26-1-207 ~]# cat /proc/1/smaps | grep KernelPageSize KernelPageSize: 64 kB [root@dhcp-10-26-1-207 ~]# cat /tmp/test.c : int main(int argc, char **argv) { const char *filename = TEST_XFS_FILENAME; intfd = 0; vacío *buf = (vacío *)-1, *p; int pgsize = getpagesize(); int ret = 0; if (pgsize != 0x10000) { fprintf(stdout, "¡Se requiere un sistema con un tamaño de página base de 64 KB!\n"); devolver -EPERM; } system("echo 0 > /sys/devices/virtual/bdi/253:0/read_ahead_kb"); sistema("echo 1 > /proc/sys/vm/drop_caches"); /* Abrir el archivo xfs */ fd = open(nombre de archivo, O_RDONLY); afirmar(fd > 0); /* Crear VMA */ buf = mmap(NULL, TEST_MEM_SIZE, PROT_READ, MAP_SHARED, fd, 0); afirmar(buf != (void *)-1); fprintf(stdout, "búfer asignado en 0x%p\n", buf); /* Completar VMA */ ret = madvise(buf, TEST_MEM_SIZE, MADV_NOHUGEPAGE); afirmar(ret == 0); ret = madvise(buf, TEST_MEM_SIZE, MADV_POPULATE_READ); afirmar(ret == 0); /* Contraer VMA */ ret = madvise(buf, TEST_MEM_SIZE, MADV_HUGEPAGE); afirmar(ret == 0); ret = madvise(buf, TEST_MEM_SIZE, MADV_COLLAPSE); if (ret) { fprintf(stdout, "Error %d en madvise(MADV_COLLAPSE)\n", errno); salir; } /* Dividir entrada de matriz x. Se necesita permiso de escritura */ munmap(buf, TEST_MEM_SIZE); buf = (nulo *)-1; cerrar(fd); fd = open(nombre de archivo, O_RDWR); afirmar(fd > 0); fallocate(fd, FALLOC_FL_KEEP_SIZE | FALLOC_FL_PUNCH_HOLE, TEST_MEM_SIZE - tamaño de página, tamaño de página); salida: if (buf != (void *)-1) munmap(buf, TEST_MEM_SIZE); si (fd > 0) cerrar(fd); volver atrás; } [root@dhcp-10-26-1-207 ~]# gcc /tmp/test.c -o /tmp/test [root@dhcp-10-26-1-207 ~]# /tmp/test -- ----------[ cortar aquí ]------------ ADVERTENCIA: CPU: 25 PID: 7560 en lib/xarray.c:1025 xas_split_alloc+0xf8/0x128 Módulos vinculados en : nft_fib_inet nft_fib_ipv4 nft_fib_ipv6 nft_fib \ nft_reject_inet nf_reject_ipv4 nf_reject_ipv6 nft_reject nft_ct \ nft_chain_nat nf_nat nf_conntrack nf_defrag_ipv6 nf_defrag_ipv4 \ _set rfkill nf_tables nfnetlink vfat fat virtio_balloon drm fuse \ xfs libcrc32c crct10dif_ce ghash_ce sha2_ce sha256_arm64 virtio_net \ sha1_ce net_failover virtio_blk virtio_console failover dimlib virtio_mmio CPU: 25 PID: 7560 Comm : prueba Kdump: cargado No contaminado 6.10.0-rc7-gavin+ #9 Nombre del hardware: QEMU KVM Virtual Machine, BIOS edk2-20240524-1.el9 24/05/2024 pstate: 83400005 (Nzcv daif +PAN -UAO +TCO + DIT -SSBS BTYPE=--) pc: xas_split_alloc+0xf8/0x128 lr: split_huge_page_to_list_to_order+0x1c4/0x780 sp: ffff8000ac32f660 x29: ffff8000ac32f660 x28: ffff0000e0969eb0 x27: 000ac32f6c0 x26: 0000000000000c40 x25: ffff0000e0969eb0 x24: 000000000000000d x23: ffff8000ac32f6c0 x22: ffffffdfc0700000 x21 : 0000000000000000 x20: 0000000000000000 x19: ffffffdfc0700000 x18: 0000000000000000 x17: 0000000000000000 x16: ffffd5f3708ffc70 x15: 000000000000000 x14: 0000000000000000 x13: 0000000000000000 x12: 0000000000000000 x11: ffffffffffffffc0 x10: 0000000000000040 x9: 08e692c x8: 0000000000000003 x7: 0000000000000000 x6: ffff0000e0969eb8 x5: ffffd5f37289e378 x4: 0000000000000000 x3: 0000000000000c40 x2: 000000000000000d x1: 000000000000000c x0: 0000000000000000 Rastreo de llamadas: xas_split_alloc+0xf8/0x128 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: exfat: corrige un posible punto muerto en __exfat_get_dentry_set Al acceder a un archivo con más entradas que ES_MAX_ENTRY_NUM, la matriz bh se asigna en __exfat_get_entry_set. El problema es que el bh-array está asignado con GFP_KERNEL. No tiene sentido. En los siguientes casos, puede ocurrir un punto muerto para sbi->s_lock entre los dos procesos. CPU0 CPU1 ---- ---- kswapd balance_pgdat lock(fs_reclaim) exfat_iterate lock(&sbi->s_lock) exfat_readdir exfat_get_uniname_from_ext_entry exfat_get_dentry_set __exfat_get_dentry_set kmalloc_array ... lock(fs_reclaim) ... desalojar exfat_evict_inode lock(&sbi->s_lock) para arreglar esto, asignemos bh-array con GFP_NOFS.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: buzón: mtk-cmdq: mover devm_mbox_controller_register() después de devm_pm_runtime_enable() Cuando mtk-cmdq se desvincula, aparece un mensaje WARN_ON con la condición pm_runtime_get_sync() < 0. De acuerdo con el seguimiento de llamadas a continuación: cmdq_mbox_shutdown mbox_free_channel mbox_controller_unregister __devm_mbox_controller_unregister ... Se puede deducir que la causa raíz es llamar a pm_runtime_get_sync() después de llamar a pm_runtime_disable() como se observa a continuación: 1. El controlador CMDQ usa devm_mbox_controller_register() en cmdq_probe() para vincular el cmdq al mbox_controller, por lo que devm_mbox_controller_unregister() cancelará automáticamente el registro del dispositivo vinculado al controlador del buzón cuando se elimine el recurso administrado por el dispositivo. Eso significa que devm_mbox_controller_unregister() y cmdq_mbox_shoutdown() serán llamados después de cmdq_remove(). 2. El controlador CMDQ también usa devm_pm_runtime_enable() en cmdq_probe() después de devm_mbox_controller_register(), por lo que se llamará a devm_pm_runtime_disable() después de cmdq_remove(), pero antes de devm_mbox_controller_unregister(). Para solucionar este problema, cmdq_probe() necesita mover devm_mbox_controller_register() después de devm_pm_runtime_enable() para que se llame a devm_pm_runtime_disable() después de devm_mbox_controller_unregister().

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/gma500: corrige la desreferencia del puntero nulo en cdv_intel_lvds_get_modes En cdv_intel_lvds_get_modes(), el valor de retorno de drm_mode_duplicate() se asigna al modo, lo que conducirá a una desreferencia del puntero NULL en caso de falla de drm_mode_duplicate(). Agregue una marca para evitar npd.