Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/msm: corrige la fuga de la cola de envío de wait_fence No estábamos eliminando la referencia de la cola de envío en todas las rutas. En particular, cuando la valla ya ha sido señalizada. Divida un ayudante para simplificar el manejo de esto en las diferentes rutas de retorno.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/msm: corrige mmap para incluir VM_IO y VM_DONTDUMP. En el commit 510410bfc034 ("drm/msm: implementa mmap como función de objeto GEM") Nosotros cambiamos a un método nuevo / más limpio de hacer las cosas. Eso es bueno, pero nos perdimos un poquito. Antes de esa confirmación, solíamos ejecutar _primero_ el caso drm_gem_mmap_obj() donde `obj->funcs->mmap()` era NULL. Eso significó que ejecutamos: vma->vm_flags |= VM_IO | VM_PFNMAP | VM_DONTEXPAND | VM_DONTDUMP; vma->vm_page_prot = pgprot_writecombine(vm_get_page_prot(vma->vm_flags)); vma->vm_page_prot = pgprot_decrypted(vma->vm_page_prot); ...y _luego_ modificamos esas asignaciones con las nuestras. Ahora que `obj->funcs->mmap()` ya no es NULL, no ejecutamos el código predeterminado. Parece que el hecho de que vm_flags obtuviera VM_IO/VM_DONTDUMP fue importante porque ahora estamos teniendo fallas en Chromebooks que usan ARC++ al cerrar sesión. Específicamente, un bloqueo que se ve así (esto ocurre en un kernel 5.10 con backports relevantes, pero también se ve en un kernel 5.15): No se puede manejar la solicitud de paginación del kernel en la dirección virtual ffffffc008000000 Información de cancelación de memoria: ESR = 0x96000006 EC = 0x25: DABT ( EL actual), IL = 32 bits SET = 0, FnV = 0 EA = 0, S1PTW = 0 Información de cancelación de datos: ISV = 0, ISS = 0x00000006 CM = 0, WnR = 0 tabla de intercambio: 4k páginas, VA de 39 bits , pgdp=000000008293d000 [ffffffc008000000] pgd=00000001002b3003, p4d=00000001002b3003, pud=00000001002b3003, pmd=0000000000000000 Error interno: operaciones: 96000006 [#1] PREEMPT SMP [...] CPU: 7 PID: 15734 Comunicaciones: crash_dump64 Contaminado: GW 5.10.67 #1 [...] Nombre del hardware: Qualcomm Technologies, Inc. sc7280 IDP SKU2 plataforma (DT) pstate: 80400009 (Nzcv daif +PAN -UAO -TCO BTYPE=--) pc: __arch_copy_to_user+0xc0/0x30c lr: copyout+0xac/0x14c [...] Rastreo de llamadas: __arch_copy_to_user+0xc0/0x30c copy_page_to_iter+0x1a0/0x294 Process_vm_rw_core+0x240/0x408 Process_vm_rw+0x110/0x16c __arm64_sys_process_vm_readv+0x30/0 x3c el0_svc_common+0xf8/0x250 do_el0_svc+0x30/0x80 el0_svc+0x10/0x1c el0_sync_handler+0x78/0x108 el0_sync+0x184/0x1c0 Código: f8408423 f80008c3 910020c6 36100082 (b8404423) Agreguemos las dos banderas nuevamente. Mientras estamos en esto, el hecho de que no estemos ejecutando medios predeterminados que _no_ necesitamos borrar VM_PFNMAP, así que elimínelo y guarde una instrucción. NOTA: se confirmó que VM_IO era el indicador importante para solucionar el problema que estaba viendo, pero volver a agregar VM_DONTDUMP parece algo sensato, así que lo estoy haciendo también.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/msm/devfreq: corrige la fuga de referencia de OPP

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/vc4: kms: borre el puntero de commit FIFO de HVS una vez realizado. El commit 9ec03d7f1ed3 ("drm/vc4: kms: espere a los usuarios FIFO anteriores antes de una confirmación") introdujo una espera en el commit anterior realizada en un HVS FIFO determinado. Sin embargo, nunca borramos ese puntero una vez hecho. Dado que drm_crtc_commit_put puede liberar la estructura drm_crtc_commit directamente si fuéramos el último usuario, esto significa que puede llevar a un use-after free si duplicáramos el estado, y ese puntero obsoleto incluso se copiaría al nuevo estado. Establezca el puntero en NULL una vez que hayamos terminado con la espera para que no transfiramos un puntero a una estructura liberada.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/vc4: kms: agregar drm_crtc_commit_put faltante el commit 9ec03d7f1ed3 ("drm/vc4: kms: esperar a los usuarios FIFO anteriores antes de una confirmación") introdujo un estado global para HVS, con cada FIFO almacena El commit CRTC actual para que podamos sincronizar correctamente las confirmaciones. Sin embargo, el recuento no se realizó y, por lo tanto, terminamos filtrando la estructura drm_crtc_commit en cada confirmación. Agregue un drm_crtc_commit_put para evitar la fuga.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: serial: liteuart: corrige use-after-free y memleak al desvincular. Cancelar el registro del puerto al desvincular el controlador para evitar que se use después de liberar los datos del controlador y pérdida de memoria asignada por el núcleo serie.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: serial: liteuart: se corrige la desreferencia del puntero NULL en ->remove() drvdata debe configurarse en _probe(); de lo contrario, platform_get_drvdata() provoca un ERROR de desreferencia del puntero nulo en _remove().

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: serial: core: fix transmit-buffer reset y memleak commit 761ed4a94582 ("tty: serial_core: convert uart_close to use tty_port_close") núcleo serial convertido para usar tty_port_close() pero no se dio cuenta que el búfer de transmisión todavía necesita ser liberado en el cierre final. No liberar el búfer de transmisión significa que el búfer ya no se borra en la próxima apertura, por lo que cualquier ioctl() que espere a que se drene el búfer podría esperar indefinidamente (por ejemplo, en cambios de termios) o que los datos obsoletos pueden terminar transmitiéndose en caso de que tx sea reiniciado. Además, el búfer de cualquier puerto que se haya abierto se filtraría al desvincular el controlador. Tenga en cuenta que el bloqueo del puerto se mantiene al borrar el puntero del búfer debido a la ejecución de ldisc solucionada mediante el commit a5ba1d95e46e ("uart: corrige la ejecución entre uart_put_char() y uart_shutdown()"). También tenga en cuenta que la devolución de llamada tty-portshutdown() no se llama para los puertos de consola, por lo que no es estrictamente necesario liberar la página del búfer después de liberar el bloqueo (cf. d72402145ace ("tty/serial: no liberar la página del búfer de transmisión en el puerto cerrar con llave")).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: cdnsp: corrige una desreferencia de puntero NULL en cdnsp_endpoint_init() En cdnsp_endpoint_init(), cdnsp_ring_alloc() se asigna a pep->ring y hay una desreferencia del mismo en cdnsp_endpoint_init( ), lo que podría provocar una desreferencia del puntero NULL en caso de falla de cdnsp_ring_alloc(). Corrija este error agregando una marca de pep->ring. Este error fue encontrado por un analizador estático. El análisis emplea verificación diferencial para identificar operaciones de seguridad inconsistentes (por ejemplo, comprobaciones o kfrees) entre dos rutas de código y confirma que las operaciones inconsistentes no se recuperan en la función actual o en las personas que llaman, por lo que constituyen errores. Tenga en cuenta que, como error encontrado mediante análisis estático, puede ser un falso positivo o difícil de activar. Varios investigadores han realizado una revisión cruzada del error. Las compilaciones con CONFIG_USB_CDNSP_GADGET=y no muestran nuevas advertencias y nuestro analizador estático ya no advierte sobre este código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iwlwifi: soluciona pérdidas de memoria en la ruta de manejo de errores. Si ocurre un error (lengua TLV no válida o falla en la asignación de memoria), la memoria ya asignada en 'reduce_power_data' debe liberarse antes de regresar; de lo contrario, está goteando.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: pch_can: pch_can_rx_normal: corregir el use after free después de llamar a netif_receive_skb(skb), desreferenciar skb no es seguro. Especialmente, el can_frame cf que alias la memoria skb se desreferencia justo después de la llamada netif_receive_skb(skb). Reordenar las líneas resuelve el problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: can: sja1000: arreglar el use after free en ems_pcmcia_add_card() Si el último canal no está disponible entonces se libera "dev". Afortunadamente, podemos usar "pdev->irq" en su lugar. También debemos comprobar si se configuró al menos un canal.