Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: usb: xhci: verifique que el endpoint sea válido antes de desreferenciarlo. Cuando el controlador de host no responde, se deben eliminar todas las URB en cola para todos los endpoints. Esto puede provocar un pánico en el kernel si eliminamos la referencia a un endpoint no válido. Solucione este problema utilizando el asistente xhci_get_virt_ep() para encontrar el endpoint y comprobar si es válido antes de desreferenciarlo. [233311.853271] xhci-hcd xhci-hcd.1.auto: El controlador de host xHCI no responde, se supone muerto [233311.853393] No se puede manejar la desreferencia del puntero NULL del kernel en la dirección virtual 00000000000000e8 [233311.853964] pc: xhci_hc_died+0x10c/ 0x270 [233311.853971] lr : xhci_hc_died+0x1ac/0x270 [233311.854077] Rastreo de llamadas: [233311.854085] xhci_hc_died+0x10c/0x270 [233311.854093] xhci_stop_endpoint_command_watchdog+0x100/0x1a4 11.854105] call_timer_fn+0x50/0x2d4 [233311.854112] expire_timers+0xac/0x2e4 [233311.854118] run_timer_softirq+0x300 /0xabc [233311.854127] __do_softirq+0x148/0x528 [233311.854135] irq_exit+0x194/0x1a8 [233311.854143] __handle_domain_irq+0x164/0x1d0 [233311.854149] gic_handle_irq.22273+0x10c/0x188 [233311.854156] el1_irq+0xfc/0x1a8 [233311.854175] lpm_cpuidle_enter+0x25c /0x418 [msm_pm] [233311.854185] cpuidle_enter_state+0x1f0/0x764 [233311.854194] do_idle+0x594/0x6ac [233311.854201] cpu_startup_entry+0x7c/0x80 [233311.8542 09] kernel_inicio_secundario+0x170/0x198

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: nommu: corrige la pérdida de memoria en la ruta de error do_mmap() La preasignación de los nodos del árbol de arce puede perderse si se toma la ruta de error a "error_just_free". Solucione este problema moviendo la liberación de los nodos del árbol de arce a una ubicación compartida para todas las rutas de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring: bloqueo desbordado para IOPOLL syzbot informa un problema con el desbordamiento de llenado para IOPOLL: ADVERTENCIA: CPU: 0 PID: 28 en io_uring/io_uring.c:734 io_cqring_event_overflow+0x1c0/0x230 io_uring /io_uring.c:734 CPU: 0 PID: 28 Comm: kworker/u4:1 No contaminado 6.2.0-rc3-syzkaller-16369-g358a161a6a9e #0 Cola de trabajo: events_unbound io_ring_exit_work Seguimiento de llamadas: io_cqring_event_overflow+0x1c0/0x230 durante. c:734 io_req_cqe_overflow+0x5c/0x70 io_uring/io_uring.c:773 io_fill_cqe_req io_uring/io_uring.h:168 [en línea] io_do_iopoll+0x474/0x62c io_uring/rw.c:1065 io_iopoll_try_reap_events+0x6c /0x108 io_uring/io_uring.c:1513 io_uring_try_cancel_requests+0x13c/0x258 io_uring/io_uring.c:3056 io_ring_exit_work+0xec/0x390 io_uring/io_uring.c:2869 Process_one_work+0x2d8/0x504 kernel/workqueue.c:2289 trabajador_thread+0x340/0x610 ue.c:2436 khilo+ 0x12c/0x158 kernel/kthread.c:376 ret_from_fork+0x10/0x20 arch/arm64/kernel/entry.S:863 No hay ningún problema real para IOPOLL normal ya que también se llama a descarga con uring_lock tomado, pero se está volviendo más complicado para IOPOLL |SQPOLL, para el cual __io_cqring_overflow_flush() ocurre desde la ruta de espera de CQ.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ALSA: usb-audio: corrige la posible desreferencia del puntero NULL en snd_usb_pcm_has_fixed_rate() El argumento de la función subs puede ser NULL, así que no lo use antes de la verificación NULL.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: octeontx2-pf: corrige la pérdida de recursos en la desvinculación del controlador VF, los recursos asignados como entradas mcam para admitir la función Ntuple y las tablas hash para la función tc no se liberan en la desvinculación del controlador. Este parche soluciona el problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/sched: act_mpls: Advertencia de corrección durante la validación fallida del atributo El atributo 'TCA_MPLS_LABEL' es de tipo 'NLA_U32', pero tiene un tipo de validación de 'NLA_VALIDATE_FUNCTION'. Esta es una combinación no válida según el comentario anterior 'struct nla_policy': " Significado del campo `validar', utilícelo a través de NLA_POLICY_VALIDATE_FN: NLA_BINARY Función de validación llamada para el atributo. Todos los demás no utilizados, pero tenga en cuenta que es una unión " Esto puede desencadenar la advertencia [1] en nla_get_range_unsigned() cuando falla la validación del atributo. A pesar de ser del tipo 'NLA_U32', los campos 'min'/'max' asociados en la política son negativos ya que tienen un alias del campo 'validate'. Para solucionarlo, cambie el tipo de atributo a 'NLA_BINARY', que es coherente con el comentario anterior y con todos los demás usuarios de NLA_POLICY_VALIDATE_FN(). Como resultado, mueva la validación de longitud a la función de validación. No hay regresiones en las pruebas MPLS: # ./tdc.py -f tc-tests/actions/mpls.json [...] # echo $? 0 [1] ADVERTENCIA: CPU: 0 PID: 17743 en lib/nlattr.c:118 nla_get_range_unsigned+0x1d8/0x1e0 lib/nlattr.c:117 Módulos vinculados en: CPU: 0 PID: 17743 Comm: syz-executor.0 No tainted 6.1.0-rc8 #3 Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS rel-1.13.0-48-gd9c812dda519-prebuilt.qemu.org 01/04/2014 RIP: 0010:nla_get_range_unsigned+0x1d8 /0x1e0 lib/nlattr.c:117 [...] Seguimiento de llamadas: __netlink_policy_dump_write_attr+0x23d/0x990 net/netlink/policy.c:310 netlink_policy_dump_write_attr+0x22/0x30 net/netlink/policy.c:411 netlink_ack_tlv_fill net /netlink/af_netlink.c:2454 [en línea] netlink_ack+0x546/0x760 net/netlink/af_netlink.c:2506 netlink_rcv_skb+0x1b7/0x240 net/netlink/af_netlink.c:2546 rtnetlink_rcv+0x18/0x20 net/core/rtnetlink. c:6109 netlink_unicast_kernel net/netlink/af_netlink.c:1319 [en línea] netlink_unicast+0x5e9/0x6b0 net/netlink/af_netlink.c:1345 netlink_sendmsg+0x739/0x860 net/netlink/af_netlink.c:1921 sock_sendmsg_nosec net/socket.c :714 [en línea] sock_sendmsg net/socket.c:734 [en línea] ____sys_sendmsg+0x38f/0x500 net/socket.c:2482 ___sys_sendmsg net/socket.c:2536 [en línea] __sys_sendmsg+0x197/0x230 net/socket.c: 2565 __do_sys_sendmsg net/socket.c:2574 [en línea] __se_sys_sendmsg net/socket.c:2572 [en línea] __x64_sys_sendmsg+0x42/0x50 net/socket.c:2572 do_syscall_x64 arch/x86/entry/common.c:50 [en línea] do_syscall_64+0x2b/0x70 arch/x86/entry/common.c:80 Entry_SYSCALL_64_after_hwframe+0x63/0xcd

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: nfc: pn533: espere a que se complete out_urb en pn533_usb_send_frame() Se corrige un use-after-free que ocurre en hcd cuando in_urb enviado desde pn533_usb_send_frame() se completa antes que out_urb. Su devolución de llamada libera los datos de skb en pn533_send_async_complete() que se utilizan como búfer de transferencia de out_urb. Espere antes de enviar in_urb hasta que se llame a la devolución de llamada de out_urb. Para modificar la devolución de llamada de out_urb solo, separe la función completa de out_urb y ack_urb. Encontrado por una versión modificada de syzkaller. ERROR: KASAN: use-after-free en dummy_timer Rastreo de llamadas: memcpy (mm/kasan/shadow.c:65) dummy_perform_transfer (drivers/usb/gadget/udc/dummy_hcd.c:1352) transfer (drivers/usb/gadget/ udc/dummy_hcd.c:1453) dummy_timer (drivers/usb/gadget/udc/dummy_hcd.c:1972) arch_static_branch (arch/x86/include/asm/jump_label.h:27) static_key_false (include/linux/jump_label.h: 207) timer_expire_exit (include/trace/events/timer.h:127) call_timer_fn (kernel/time/timer.c:1475) expire_timers (kernel/time/timer.c:1519) __run_timers (kernel/time/timer.c: 1790) run_timer_softirq (núcleo/hora/timer.c:1803)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: corrige una posible desreferencia NULL. Se corrige una posible desreferencia NULL, en el caso de que sea "man", el administrador de recursos podría ser NULL, cuando/si imprimimos información de depuración.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: corrige el manejo de archivos abiertos almacenados en caché en la ruta de código nfsd4_open el commit fb70bf124b05 ("NFSD: crear una instancia de un archivo de estructura al crear un archivo NFSv4 normal") agregó la capacidad de almacenar en caché un fd abierto sobre un compuesto. Hay un par de problemas con la forma en que esto funciona actualmente: Es picante, ya que un nfsd_file recién creado puede terminar con su bit PENDIENTE borrado mientras el nf tiene hash, y el puntero nf_file todavía está puesto a cero. Otras tareas pueden encontrarlo en este estado y esperan ver un nf_file válido, y pueden ir si nf_file es NULL. Además, no hay garantía de que terminemos creando un nuevo nfsd_file si ya hay uno en el hash. Si una entrada existente está en el hash con un nf_file válido, nfs4_get_vfs_file golpeará su puntero nf_file con el valor de op_file y el antiguo nf_file se filtrará. Solucione ambos problemas creando una nueva variante nfsd_file_acquirei_opened que toma un puntero de archivo opcional. Si hay uno presente cuando se llama, tomaremos una nueva referencia en lugar de intentar abrir el archivo. Si el nfsd_file ya tiene un nf_file válido, simplemente ignoraremos el archivo opcional y devolveremos el nfsd_file tal como está. También vuelva a trabajar un poco los puntos de seguimiento para permitir una variante "abierta" y no intente evitar contar adquisiciones en el caso de que ya tengamos un archivo abierto en caché.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: iommu/iova: soluciona el problema de desbordamiento de alloc iova. En __alloc_and_insert_iova_range, hay un problema que retry_pfn se desborda. El valor de iovad->anchor.pfn_hi es ~0UL, luego, cuando iovad->cached_node es iovad->anchor, curr_iova->pfn_hi + 1 se desbordará. Como resultado, si se ejecuta la lógica de reintento, low_pfn se actualiza a 0 y luego new_pfn < low_pfn devuelve falso para que la asignación sea exitosa. Este problema ocurre en las dos situaciones siguientes: 1. El tamaño del primer iova excede el tamaño del dominio. Al inicializar el dominio iova, iovad->cached_node se asigna como iovad->anchor. Por ejemplo, el tamaño del dominio iova es 10 M, start_pfn es 0x1_F000_0000 y el tamaño de iova asignado por primera vez es 11 M. La siguiente es la información de registro, new->pfn_lo es más pequeño que iovad->cached_node. Registro de ejemplo como sigue: [ 223.798112][T1705487] sh: [name:iova&]__alloc_and_insert_iova_range start_pfn:0x1f0000,retry_pfn:0x0,size:0xb00,limit_pfn:0x1f0a00 [ 223.799590][T1705487] [nombre:iova&]__alloc_and_insert_iova_range éxito start_pfn :0x1f0000,new->pfn_lo:0x1efe00,new->pfn_hi:0x1f08ff 2. El nodo con el valor iova->pfn_lo más grande en el dominio iova se elimina, iovad->cached_node se actualizará a iovad->anchor y luego el tamaño de alloc iova excede el tamaño máximo de iova que se puede asignar en el dominio. Después de juzgar que retry_pfn es menor que limit_pfn, llame a retry_pfn+1 para solucionar el problema de desbordamiento.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/msm: otra solución para la GPU Adreno sin cabeza. Se corrigió otro error reproducible al reiniciar la placa con la GPU Adreno funcionando en modo sin cabeza (por ejemplo, plataformas iMX). No se puede manejar la desreferencia del puntero NULL del kernel en la dirección virtual 00000000 cuando se lee [00000000] *pgd=74936831, *pte=00000000, *ppte=00000000 Error interno: Ups: 17 [#1] ARM CPU: 0 PID: 51 Comm: reiniciar Not tainted 6.2.0-rc1-dirty #11 Nombre del hardware: Freescale i.MX53 (soporte de árbol de dispositivos) La PC está en msm_atomic_commit_tail+0x50/0x970 LR está en commit_tail+0x9c/0x188 pc: [] lr: [< c067a214>] psr: 600e0013 sp: e0851d30 ip: ee4eb7eb fp: 00090acc r10: 00000058 r9: c2193014 r8: c4310000 r7: c4759380 r6: 07bef61d r5: 00000 r4: 00000000 r3: c44cc440 r2: 00000000 r1: 00000000 r0: 00000000 Banderas: nZCv IRQ en FIQ en Modo SVC_32 ISA ARM Segmento ninguno Control: 10c5387d Tabla: 74910019 DAC: 00000051 Información del registro r0: puntero NULL Información del registro r1: puntero NULL Información del registro r2: puntero NULL Información del registro r3: slab kmalloc-1k inicio c44cc400 desplazamiento del puntero 64 tamaño 1024 Información del registro r4: puntero NULL Información del registro r5: puntero NULL Información del registro r6: memoria no paginada Información del registro r7: slab kmalloc-128 inicio c4759380 desplazamiento del puntero 0 tamaño 128 Información del registro r8: slab kmalloc-2k inicio c4310000 desplazamiento del puntero 0 tamaño 2048 Información del registro r9: memoria no slab/vmalloc Información del registro r10: memoria no paginada Información del registro r11: memoria no paginada Información del registro r12: memoria no paginada Reinicio del proceso (pid: 51, límite de pila = 0xc80046d9) Pila : (0xe0851d30 a 0xe0852000) 1d20: c4759380 fbd77200 000005ff 002b9c70 1d40: c4759380 c4759380 00000000 07bef61d 00000600 c0d6fe7c 3014 00000058 1d60: 00090acc c067a214 00000000 c4759380 c4310000 00000000 c44cc854 c067a89c 1d80: 00000000 00000000 00000000 c431046 8 00000000 c4759380 c4310000 c4310468 1da0: c4310470 c0643258 c4759380 00000000 00000000 c0c4ee24 00000000 c44cc810 1dc0: 00000000 c0c4ee24 00000000 c44cc810 00000000 0347d2a8 e0851e00 e0851e00 1de0: c4759380 c067ad20 c4310000 00 c44cc810 c27f8718 c44cc854 c067adb8 1e00: c4933000 00000002 00000001 00000000 00000000 c2130850 00000000 c2130854 1e20: c25fc488 00000 c0ff162c 00000000 00000001 00000002 00000000 00000000 1e40: c43102c0 c43102c0 00000000 0347d2a8 c44cc810 c44cc814 c2133da8 c06d1a60 1e60: 00000000 00000000 00079028 c2012f24 fee1dead c4933000 00000058 c01431e4 1e80: 01234567 c0143a20 00000000 000 00000000 00000000 00000000 00000000 1ea0: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 1ec0: 000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 1ee0: 00000000 00000000 00000000 00000000 00000000 0000 00000000 00000000 1f00: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 1f20: 00000000 00000000 000000 00000000 00000000 00000000 00000000 00000000 1f40: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000 1f60: 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 1f80: 00000000 00000000 00000000 0347d2a 8 00000002 00000004 00000078 00000058 1fa0: c010028c c0100060 00000002 00000004 fee1dead 28121969 01234567 00079028 1fc0: 00000002 00000004 00000078 0000058 0002fdc5 00000000 00000000 00090acc 1fe0: 00000058 becc9c64 b6e97e05 b6e0e5f6 600e0030 fee1dead 00000000 00000000 msm_atomic_commit_tail de commit_tail+ 0x9c/0x188 commit_tail de drm_atomic_helper_commit+0x160/0x188 drm_atomic_helper_commit de drm_atomic_commit+ 0xac/0xe0 drm_atomic_commit de drm_atomic_helper_disable_all+0x1b0/0x1c0 drm_atomic_helper_disable_all de drm_atomic_helper_shutdown+0x88/0x140 drm_atomic_helper_shutdown de device_shutdown+0x16c/0x240 device_shutdown de kernel_restart+0x 38/0x90 kernel_restart desde __do_sys_reboot+0x ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ice: soluciona una posible pérdida de memoria en ice_gnss_tty_write(). El ice_gnss_tty_write() regresa directamente si falla la asignación write_buf, filtrando el cmd_buf. Corrija mediante cmd_buf gratuito si falla la asignación de write_buf.