Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ila: bloquear BH en ila_output() Como se explica en la confirmación 1378817486d6 ("tipc: bloquear BH antes de usar dst_cache"), los ayudantes net/core/dst_cache.c deben llamarse con BH desactivado. ila_output() se llama desde lwtunnel_output() posiblemente desde el contexto del proceso y bajo rcu_read_lock(). Podríamos ser interrumpidos por un softirq, volver a ingresar a ila_output() y dañar las estructuras de datos dst_cache. Arregle la carrera usando local_bh_disable().

Twisted es un framework basado en eventos para aplicaciones de Internet, compatible con Python 3.6+. El servidor HTTP 1.0 y 1.1 proporcionado por twisted.web podría procesar solicitudes HTTP canalizadas desordenadas, lo que posiblemente resulte en la divulgación de información. Esta vulnerabilidad se soluciona en 24.7.0rc1.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvme: evitar payload de double free especial Si es necesario volver a intentar una solicitud de descarte y ese reintento puede fallar antes de agregar un nuevo payload especial, se producirá un double free. Borre RQF_SPECIAL_LOAD cuando se limpie la solicitud.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: Scrub: maneja correctamente el error de búsqueda RST [ERROR] Al ejecutar btrfs/060 con la función RST forzada, bloquearía el siguiente ASSERT() dentro de Scrub_read_endio(): ASSERT(sector_nr < raya->nr_sectors); Antes de eso, tendríamos un volcado de árbol de btrfs_get_raid_extent_offset(), ya que no pudimos encontrar la entrada RST para el rango. [CAUSA] Dentro de Scrub_submit_extent_sector_read() cada vez que asignamos un nuevo bbio llamamos inmediatamente a btrfs_map_block() para asegurarnos de que hubiera algún rango RST que cubriera el objetivo de limpieza. Pero si btrfs_map_block()fallo, inmediatamente llamamos a endio para el bbio, mientras el bbio está recién asignado, está completamente vacío. Luego, dentro de Scrub_read_endio(), revisamos los bvecs para encontrar el número del sector (ya que bi_sector ya no es confiable si la biografía se envía a capas inferiores). Y dado que la biografía está vacía, dicha iteración de bvecs no encontraría ningún sector que coincida con el sector y devolvería sector_nr == stripe->nr_sectors, lo que activaría ASSERT(). [FIX] En lugar de llamar a btrfs_map_block() después de asignar un nuevo bbio, llame primero a btrfs_map_block(). Dado que nuestro único objetivo al llamar a btrfs_map_block() es solo actualizar stripe_len, realmente no hay necesidad de hacerlo después de btrfs_alloc_bio(). Este nuevo tiempo evitaría por completo el problema de manejar bbio vacío y, de hecho, soluciona una posible ventana de ejecuciónpara el código anterior, donde si el hilo de envío es el único propietario de pendiente_io, la limpieza nunca terminaría (ya que no lo hicimos). disminuir el contador pendiente_io). Aunque aún es necesario abordar la causa raíz del error de búsqueda de RST.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: evitar cálculos de direcciones mediante indexación de matriz fuera de los límites. Se debe configurar req->n_channels antes de poder usar req->channels[]. Este parche soluciona uno de los problemas encontrados en [1]. [83.964255] UBSAN: índice de matriz fuera de los límites en net/mac80211/scan.c:364:4 [83.964258] el índice 0 está fuera de rango para el tipo 'struct ieee80211_channel *[]' [...] [ 83.964264] Seguimiento de llamadas: [ 83.964267] [ 83.964269] dump_stack_lvl+0x3f/0xc0 [ 83.964274] __ubsan_handle_out_of_bounds+0xec/0x110 [ 83.964278] escaneo+0x2db/0x4b0 [ 83.964281] __ieee80211_start_scan+0x601/0x990 [ 83.964291] nl80211_trigger_scan+0x874/ 0x980 [83.964295] genl_family_rcv_msg_doit+0xe8/0x160 [83.964298] genl_rcv_msg+0x240/0x270 [...] [1] https://bugzilla.kernel.org/show_bug.cgi?id=218810

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/radeon: verifique que bo_va->bo no sea NULL antes de usarlo. La llamada a radeon_vm_clear_freed podría borrar bo_va->bo, por lo que debemos verificarlo antes de eliminar la referencia.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: bluetooth/l2cap: sync sock recv cb and release El problema ocurre entre la llamada al sistema para cerrar el calcetín y hci_rx_work, donde el primero libera el calcetín y el segundo accede a él sin protección de bloqueo. . CPU0 CPU1 ---- ---- sock_close hci_rx_work l2cap_sock_release hci_acldata_packet l2cap_sock_kill l2cap_recv_frame sk_free l2cap_conless_channel l2cap_sock_recv_cb Si hci_rx_work procesa los datos que deben recibirse antes de cerrar el sock, entonces todo es normal; De lo contrario, el hilo de trabajo puede acceder al sock liberado al recibir datos. Agregue un mutex chan en la devolución de llamada rx del sock para lograr la sincronización entre la liberación del sock y recv cb. Sock está muerto, así que configure los datos de chan en NULL, evite que otros usen un puntero de sock no válido.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_core: cancelar todos los trabajos en hci_unregister_dev() syzbot informa que llamar a hci_release_dev() desde hci_error_reset() debido a hci_dev_put() desde hci_error_reset() puede causar un punto muerto en destroy_workqueue( ), porque hci_error_reset() se llama desde hdev->req_workqueue y destroy_workqueue() necesita vaciarse. Necesitamos asegurarnos de que hdev->{rx_work,cmd_work,tx_work} que están en cola en hdev->workqueue y hdev->{power_on,error_reset} que están en cola en hdev->req_workqueue ya no se estén ejecutando en el momento destroy_workqueue( hdev->cola de trabajo); destroy_workqueue(hdev->req_workqueue); se llaman desde hci_release_dev(). Llame a cancel_work_sync() en estos elementos de trabajo desde hci_unregister_dev() tan pronto como se elimine hdev->list de hci_dev_list.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/eeh: evita un posible bloqueo cuando cambia edev->pdev Si se elimina un dispositivo PCI durante eeh_pe_report_edev(), edev->pdev cambiará y puede causar un bloqueo, mantenga presionado el botón PCI vuelve a escanear/quitar bloqueo mientras se toma una copia de edev->pdev->bus.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/pseries: incluir en la lista blanca el objeto dtl slub para copiarlo en el espacio de usuario. La lectura del registro de seguimiento de envío desde /sys/kernel/debug/powerpc/dtl/cpu-* da como resultado un ERROR() cuando la configuración CONFIG_HARDENED_USERCOPY está habilitada como se muestra a continuación. ¡ERROR del kernel en mm/usercopy.c:102! Vaya: Excepción en modo kernel, sign: 5 [#1] LE PAGE_SIZE=64K MMU=Radix SMP NR_CPUS=2048 NUMA pSeries Módulos vinculados en: xfs libcrc32c dm_service_time sd_mod t10_pi sg ibmvfc scsi_transport_fc ibmveth pseries_wdt dm_multipath dm_mirror _region_hash dm_log dm_mod fusible CPU: 27 PID: 1815 Comm: python3 No contaminado 6.10.0-rc3 #85 Nombre de hardware: IBM,9040-MRX POWER10 (sin procesar) 0x800200 0xf000006 de:IBM,FW1060.00 (NM1060_042) hv:phyp pSeries NIP: c0000000005d23d4 LR: c0000000005d23d0 CTR : 00000000006ee6f8 REGS: c000000120c078c0 TRAP: 0700 No contaminado (6.10.0-rc3) MSR: 8000000000029033 CR: 2828220f XER: 0000000e CFAR: 00000001fdc80 MÁSCARA IRQ: 0 [ .. GPR omitidos... ] NIP [c0000000005d23d4] usercopy_abort+0x78/0xb0 LR [c0000000005d23d0] usercopy_abort+0x74/0xb0 Seguimiento de llamadas: usercopy_abort+0x74/0xb0 (no confiable) __check_heap_object+0xf8/0x 120 check_heap_object+0x218/0x240 __check_object_size+0x84/ 0x1a4 dtl_file_read+0x17c/0x2c4 full_proxy_read+0x8c/0x110 vfs_read+0xdc/0x3a0 ksys_read+0x84/0x144 system_call_exception+0x124/0x330 system_call_vectored_common+0x15c/0x2ec --- interrupción: 3000 0x7fff81f3ab34 Confirmación 6d07d1cd300f ("copia de usuario: restringir cachés que no sean de copia de usuario) a tamaño 0") requiere que solo las áreas incluidas en la lista blanca en objetos de losa/slub se puedan copiar al espacio de usuario cuando el refuerzo de copia de usuario está habilitado usando CONFIG_HARDENED_USERCOPY. Dtl contiene eventos de envío del hipervisor que se espera que sean leídos por usuarios privilegiados. Por lo tanto, marque esto como seguro para el acceso de los usuarios. Especifique useroffset=0 y usersize=DISPATCH_LOG_BYTES para incluir todo el objeto en la lista blanca.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: ibmvnic: agregue verificación de tx para evitar fugas de skb A continuación se muestra un resumen de cómo el controlador almacena una referencia a un skb durante la transmisión: tx_buff[free_map[consumer_index]]->skb = new_skb ; free_map[consumer_index] = IBMVNIC_INVALID_MAP; consumer_index++; Donde los datos variables se ven así: free_map == [4, IBMVNIC_INVALID_MAP, IBMVNIC_INVALID_MAP, 0, 3] consumer_index^ tx_buff == [skb=null, skb=, skb=, skb=null, skb=null ] El controlador tiene comprobaciones para garantizar que free_map[consumer_index] apunte a un índice válido, pero no hubo ninguna verificación para garantizar que este índice apunte a una dirección skb nula o no utilizada. Entonces, si, por casualidad, nuestras listas free_map y tx_buff no están sincronizadas, entonces estábamos arriesgándonos a una pérdida de memoria skb. Esto podría provocar que el control de congestión de TCP deje de enviar paquetes, lo que eventualmente provocaría ETIMEDOUT. Por lo tanto, agregue un condicional para garantizar que la dirección skb sea nula. De lo contrario, advierta al usuario (porque todavía es un error que debe corregirse) y libere el puntero antiguo para evitar problemas de memleak/tcp.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: ASoC: topología: corrige referencias a la memoria liberada. La mayoría de los usuarios, después de analizar un archivo de topología, liberan la memoria utilizada por este, por lo que tener referencias de puntero directamente al contenido del archivo de topología es incorrecto. Utilice devm_kmemdup() para asignar memoria según sea necesario.