Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtw88: use ieee80211_purge_tx_queue() para purgar TX skb Al eliminar módulos del kernel mediante: rmmod rtw88_8723cs rtw88_8703b rtw88_8723x rtw88_sdio rtw88_core El controlador usa skb_queue_purge() para purgar TX skb, pero no informa el estado de la tx, lo que provoca la advertencia "¡Tiene marcos de reconocimiento pendientes!". Use ieee80211_purge_tx_queue() para corregir esto. Dado que ieee80211_purge_tx_queue() no toma bloqueos, para evitar ejecucións entre el trabajo de TX y la cola de purga de TX, vacíe y destruya el trabajo de TX con anticipación. wlan0: desautenticando desde aa:f5:fd:60:4c:a8 por elección local (Razón: 3=DEAUTH_LEAVING) ------------[ cortar aquí ]------------ ¡Hay marcos de reconocimiento pendientes! ADVERTENCIA: CPU: 3 PID: 9232 en net/mac80211/main.c:1691 ieee80211_free_ack_frame+0x5c/0x90 [mac80211] CPU: 3 PID: 9232 Comm: rmmod Contaminado: GC 6.10.1-200.fc40.aarch64 #1 Nombre del hardware: pine64 Pine64 PinePhone Braveheart (1.1)/Pine64 PinePhone Braveheart (1.1), BIOS 2024.01 01/01/2024 pstate: 60400005 (nZCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : ieee80211_free_ack_frame+0x5c/0x90 [mac80211] lr : ieee80211_free_ack_frame+0x5c/0x90 [mac80211] sp : ffff80008c1b37b0 x29: ffff80008c1b37b0 x28: ffff000003be8000 x27: 0000000000000000 x26: 0000000000000000 x25: ffff000003dc14b8 x24: ffff80008c1b37d0 x23: ffff000000ff9f80 x22: 0000000000000000 x21: 000000007fffffff x20: ffff80007c7e93d8 x19: ffff00006e66f400 x18: 0000000000000000 x17: ffff7ffffd2b3000 x16: ffff800083fc0000 x15: 0000000000000000 x14: 0000000000000000 x13: 2173656d61726620 x12: 6b636120676e6964 x11: 000000000000000 x10: 000000000000005d x9: ffff8000802af2b0 x8: ffff80008c1b3430 x7: 00000000000000001 x6 : 0000000000000001 x5 : 0000000000000000 x4 : 0000000000000000 x3 : 0000000000000000 x2 : 0000000000000000 x1 : 0000000000000000 x0 : ffff000003be8000 Rastreo de llamadas: ieee80211_free_ack_frame+0x5c/0x90 [mac80211] idr_for_each+0x74/0x110 ieee80211_free_hw+0x44/0xe8 [mac80211] rtw_sdio_remove+0x9c/0xc0 [rtw88_sdio] sdio_bus_remove+0x44/0x180 device_remove+0x54/0x90 device_release_driver_internal+0x1d4/0x238 driver_detach+0x54/0xc0 bus_remove_driver+0x78/0x108 driver_unregister+0x38/0x78 sdio_unregister_driver+0x2c/0x40 rtw_8723cs_driver_exit+0x18/0x1000 [rtw88_8723cs] __do_sys_delete_module.isra.0+0x190/0x338 __arm64_sys_delete_module+0x1c/0x30 invocar_llamada_al_sistema+0x74/0x100 el0_svc_common.constprop.0+0x48/0xf0 do_el0_svc+0x24/0x38 el0_svc+0x3c/0x158 el0t_64_sync_handler+0x120/0x138 el0t_64_sync+0x194/0x198 ---[ fin de seguimiento 0000000000000000 ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: jfs: se corrige el error shift-out-of-bounds en dbSplit. Cuando dmt_budmin es menor que cero, provoca errores en las etapas posteriores. Se agregó una verificación para devolver un error de antemano en dbAllocCtl.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: jfs: arreglo de array-index-out-of-bounds en dtReadFirst El valor de stbl a veces puede estar fuera de los límites debido a un sistema de archivos defectuoso. Se agregó una verificación con el retorno apropiado del código de error en ese caso.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: ath10k: evitar error de puntero NULL durante la eliminación de sdio Al ejecutar 'rmmod ath10k', ath10k_sdio_remove() liberará la cola de trabajo de sdio mediante destroy_workqueue(). Pero si CONFIG_INIT_ON_FREE_DEFAULT_ON está configurado en sí, se producirá un pánico del kernel: Rastreo de llamada: destroy_workqueue+0x1c/0x258 ath10k_sdio_remove+0x84/0x94 sdio_bus_remove+0x50/0x16c device_release_driver_internal+0x188/0x25c device_driver_detach+0x20/0x2c Esto se debe a que durante 'rmmod ath10k', ath10k_sdio_remove() llamará a ath10k_core_destroy() antes de destroy_workqueue(). wiphy_dev_release() finalmente se llamará en ath10k_core_destroy(). Esta función liberará la estructura cfg80211_registered_device *rdev y todos sus miembros, incluidos wiphy, dev y el puntero de sdio workqueue. Luego, el puntero de sdio workqueue se establecerá en NULL debido a CONFIG_INIT_ON_FREE_DEFAULT_ON. Después de liberar el dispositivo, destroy_workqueue() usará el puntero NULL y luego se producirá el pánico del kernel. Rastreo de llamadas: ath10k_sdio_remove ->ath10k_core_unregister …… ->ath10k_core_stop ->ath10k_hif_stop ->ath10k_sdio_irq_disable ->ath10k_hif_power_down ->del_timer_sync(&ar_sdio->sleep_timer) ->ath10k_core_destroy ->ath10k_mac_destroy ->ieee80211_free_hw ->wiphy_free …… ->wiphy_dev_release ->destroy_workqueue Es necesario llamar a destroy_workqueue() antes de ath10k_core_destroy(), primero liberar el búfer de la cola de trabajo y luego liberar el puntero de la cola de trabajo mediante ath10k_core_destroy(). Este orden coincide con el orden de la ruta de error en ath10k_sdio_probe(). No se pondrá en cola ningún trabajo en la cola de trabajo de sdio entre su destrucción y la llamada a ath10k_core_destroy(). Según la pila de llamadas anterior, el motivo es el siguiente: solo ath10k_sdio_sleep_timer_handler(), ath10k_sdio_hif_tx_sg() y ath10k_sdio_irq_disable() pondrán en cola el trabajo en la cola de trabajo de sdio. El temporizador de suspensión se eliminará antes de ath10k_core_destroy() en ath10k_hif_power_down(). ath10k_sdio_irq_disable() solo se llamará en ath10k_hif_stop(). ath10k_core_unregister() llamará a ath10k_hif_power_down() para detener el bus hif, por lo que ya no se llamará ath10k_sdio_hif_tx_sg(). Probado en: QCA6174 hw3.2 SDIO WLAN.RMH.4.4.1-00189

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: inet6: no deje un puntero sk colgando en inet6_create() sock_init_data() adjunta el puntero sk asignado al objeto sock proporcionado. Si inet6_create() falla más tarde, se libera el objeto sk, pero el objeto sock conserva el puntero sk colgando, lo que puede provocar un use-after-free más adelante. Borre el puntero sk sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: inet: no deje un puntero sk colgando en inet_create() sock_init_data() adjunta el objeto sk asignado al objeto sock proporcionado. Si inet_create() falla más tarde, el objeto sk se libera, pero el objeto sock conserva el puntero colgando, lo que puede crear un use-after-free más tarde. Borre el puntero sk en el objeto sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ieee802154: no deje un puntero sk colgando en ieee802154_create() sock_init_data() adjunta el objeto sk asignado al objeto sock proporcionado. Si ieee802154_create() falla más tarde, el objeto sk asignado se libera, pero el puntero colgando permanece en el objeto sock proporcionado, lo que puede permitir el use-after-free. Borre el puntero sk en el objeto sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: af_can: no deje un puntero sk colgando en can_create() En caso de error, can_create() libera el objeto sk asignado, pero sock_init_data() ya lo ha adjuntado al objeto sock proporcionado. Esto dejará un puntero sk colgando en el objeto sock y puede provocar un uso posterior a la liberación más adelante.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: RFCOMM: evitar dejar el puntero sk colgando en rfcomm_sock_alloc() bt_sock_alloc() adjunta el objeto sk asignado al objeto sock proporcionado. Si rfcomm_dlc_alloc() falla, liberamos el objeto sk, pero dejamos el puntero colgando en el objeto sock, lo que puede provocar un use-after-free. Solucione esto intercambiando las llamadas a bt_sock_alloc() y rfcomm_dlc_alloc().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: L2CAP: no dejar el puntero sk colgando en caso de error en l2cap_sock_create() bt_sock_alloc() asigna el objeto sk y lo adjunta al objeto sock proporcionado. En caso de error, l2cap_sock_alloc() libera el objeto sk, pero el puntero colgando sigue adjunto al objeto sock, lo que puede crear un use-after-free en otro código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: hisi_sas: Crear todos los archivos de volcado durante la inicialización de debugfs Para el debugfs actual de hisi_sas, después de que el usuario active el volcado, el controlador asigna espacio de memoria para guardar la información de registro y crear archivos de debugfs para mostrar la información guardada. En este proceso, los archivos de debugfs creados después de cada volcado. Por lo tanto, cuando se activa el volcado mientras el controlador está desvinculado, se produce el siguiente bloqueo: [67840.853907] No se puede gestionar la desreferencia del puntero NULL del núcleo en la dirección virtual 00000000000000a0 [67840.862947] Información de interrupción de memoria: [67840.865855] ESR = 0x0000000096000004 [67840.869713] EC = 0x25: DABT (EL actual), IL = 32 bits [67840.875125] SET = 0, FnV = 0 [67840.878291] EA = 0, S1PTW = 0 [67840.881545] FSC = 0x04: error de traducción de nivel 0 [67840.886528] Información de cancelación de datos: [67840.889524] ISV = 0, ISS = 0x00000004, ISS2 = 0x00000000 [67840.895117] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [67840.900284] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [67840.905709] pgtable de usuario: páginas de 4k, VA de 48 bits, pgdp=0000002803a1f000 [67840.912263] [00000000000000a0] pgd=0000000000000000, p4d=0000000000000000 [67840.919177] Error interno: Oops: 0000000096000004 [#1] PREEMPT SMP [67840.996435] pstate: 80400009 (Nzcv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [67841.003628] pc : down_write+0x30/0x98 [67841.007546] lr : start_creating.part.0+0x60/0x198 [67841.012495] sp : ffff8000b979ba20 [67841.016046] x29: ffff8000b979ba20 x28: 0000000000000010 x27: 0000000000024b40 [67841.023412] x26: 0000000000000012 x25: ffff20202b355ae8 x24: ffff20202b35a8c8 [67841.030779] x23: ffffa36877928208 x22: ffffa368b4972240 x21: ffff8000b979bb18 [67841.038147] x20: ffff00281dc1e3c0 x19: ffffffffffffffffe x18: 0000000000000020 [67841.045515] x17: 00000000000000000 x16: ffffa368b128a530 x15: ffffffffffffffff [67841.052888] x14: ffff8000b979bc18 x13: ffffffffffffffff x12: ffff8000b979bb18 [67841.060263] x11: 000000000000000 x10: 0000000000000000 x9: ffffa368b1289b18 [67841.067640] x8 : 0000000000000012 x7 : 0000000000000000 x6 : 00000000000003a9 [67841.075014] x5 : 0000000000000000 x4 : ffff002818c5cb00 x3 : 0000000000000001 [67841.082388] x2 : 000000000000000 x1 : ffff002818c5cb00 x0 : 00000000000000a0 [67841.089759] Seguimiento de llamadas: [67841.092456] escritura_inactiva+0x30/0x98 [67841.096017] creación_iniciativa.parte.0+0x60/0x198 [67841.100613] creación_directorio_debugfs+0x48/0x1f8 [67841.104950] creación_archivos_debugfs_v3_hw+0x88/0x348 [hisi_sas_v3_hw] [67841.111447] registros_instantáneos_debugfs_v3_hw+0x708/0x798 [hisi_sas_v3_hw] [67841.118111] escritura_activadora_debugfs_v3_hw+0x9c/0x120 [hisi_sas_v3_hw] [67841.125115] escritura de proxy completo+0x68/0xc8 [67841.129175] escritura de vfs+0xd8/0x3f0 [67841.132708] escritura de ksys+0x70/0x108 [67841.136317] escritura de __arm64_sys+0x24/0x38 [67841.140440] llamada al sistema invocada+0x50/0x128 [67841.144385] el0_svc_common.constprop.0+0xc8/0xf0 [67841.149273] do_el0_svc+0x24/0x38 [67841.152773] el0_svc+0x38/0xd8 [67841.156009] el0t_64_sync_handler+0xc0/0xc8 [67841.160361] el0t_64_sync+0x1a4/0x1a8 [67841.164189] Código: b9000882 d2800002 d2800023 f9800011 (c85ffc05) [67841.170443] ---[ fin del seguimiento 000000000000000 ]--- Para solucionar este problema, cree todos los directorios y archivos durante la inicialización de debugfs. De esta manera, el controlador solo necesita asignar espacio de memoria para guardar la información cada vez que el usuario activa el volcado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_conn: usar disable_delayed_work_sync Esto utiliza disable_delayed_work_sync en lugar de cancel_delayed_work_sync, ya que no solo cancela el trabajo en curso sino que también deshabilita el nuevo envío, que se puede deshabilitar ya que el objeto que contiene el trabajo está a punto de liberarse.