Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: r8169: corrige el punto muerto relacionado con el LED al eliminar el módulo. Vincular devm_led_classdev_register() al netdev es problemático porque al eliminar el módulo obtenemos un punto muerto relacionado con RTNL. Solucione este problema evitando las funciones LED administradas por el dispositivo. Nota: Podemos llamar con seguridad a led_classdev_unregister() para un LED incluso si falla el registro, porque led_classdev_unregister() detecta esto y no es operativo en este caso.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: Thermal/debugfs: agregue el incremento de conteo faltante a Thermal_debug_tz_trip_up() El campo de conteo en la estructura trip_stats, que representa la cantidad de veces que la temperatura de la zona estuvo por encima del punto de disparo, debe incrementarse en Thermal_debug_tz_trip_up(), por dos razones. Primero, si se cruza un punto de viaje en el camino hacia arriba por primera vez, Thermal_debug_update_temp() llamado desde update_temperature() no lo ve porque aún no se ha agregado a la matriz trips_crossed[] en el objeto struct tz_debugfs de la zona térmica. Por lo tanto, cuando se llama a Thermal_debug_tz_trip_up() después de eso, el valor de conteo del punto de disparo es 0, y el intento de dividirlo durante el cálculo de la temperatura promedio conduce a un error de división que provoca que el kernel falle. Establecer el conteo en 1 antes de la división incrementándolo soluciona este problema. En segundo lugar, si se cruza un punto de viaje en el camino hacia arriba, pero ya se ha cruzado en el camino hacia arriba, es necesario incrementar su valor de conteo para registrar el hecho de que la temperatura de la zona está por encima del viaje en este momento. Sin hacer eso, si las mitigaciones aplicadas después de cruzar el viaje hacen que la temperatura de la zona caiga por debajo de su umbral, el conteo no se actualizará para este episodio en absoluto y la temperatura promedio en el registro de estadísticas del viaje será algo mayor de lo que debería ser. . CC :6.8+ # 6.8+

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: userfaultfd: cambie src_folio después de asegurarse de que no esté fijado en UFFDIO_MOVE Commit d7a08838ab74 ("mm: userfaultfd: corrija el cambio inesperado en src_folio cuando UFFDIO_MOVE falla") movió src_folio->{mapping, index} cambiando a después de borrar la tabla de páginas y asegurarse de que no esté fijada. Esto evita fallos en el intercambio+migración y posiblemente daños en la memoria. Sin embargo, la confirmación no solucionó el problema en el caso de la página enorme.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: s390/cio: corrige la condición de ejecución durante el procesamiento en línea Existe una condición de ejecución en ccw_device_set_online() que puede causar que el proceso en línea falle, dejando el dispositivo afectado en un estado inconsistente. Como resultado, los intentos posteriores de configurar ese dispositivo en línea fallan con el código de retorno ENODEV. El problema se produce cuando llega una solicitud de verificación de ruta después de que se complete la espera hasta que se complete el estado final del dispositivo, pero antes de que se evalúe el estado del resultado. Solucione este problema asegurándose de que el bloqueo del dispositivo CCW se mantenga entre la determinación del estado final y la verificación del estado del resultado. Tenga en cuenta que desde: commit 2297791c92d0 ("s390/cio: no cancelar el registro del subcanal de los controladores secundarios") es mucho más probable que se produzcan solicitudes de verificación de ruta durante el arranque, lo que aumenta las posibilidades de que se produzca esta condición de ejecución.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: net/sched: corrige el punto muerto reflejado en la recursividad del dispositivo Cuando la acción reflejada se utiliza en una qdisc de salida con clase y un paquete se refleja o redirige a uno mismo, llegamos a un punto muerto de bloqueo de qdisc. Vea el rastro a continuación. [..... otra información eliminada por brevedad....] [ 82.890906] [ 82.890906] ============================= ================ [82.890906] ADVERTENCIA: posible bloqueo recursivo detectado [82.890906] 6.8.0-05205-g77fadd89fe2d-dirty #213 Contaminado: GW [82.890906] ----- --------------------------------------- [ 82.890906] ping/418 está intentando adquirir el bloqueo : [ 82.890906] ffff888006994110 (&sch->q.lock){+.-.}-{3:3}, en: __dev_queue_xmit+0x1778/0x3550 [ 82.890906] [ 82.890906] pero la tarea ya mantiene el bloqueo: [ 82.890906] 88006994110 (&sch->q.lock){+.-.}-{3:3}, en: __dev_queue_xmit+0x1778/0x3550 [ 82.890906] [ 82.890906] otra información que podría ayudarnos a depurar esto: [ 82.890906] Posible escenario de bloqueo inseguro : [ 82.890906] [ 82.890906] CPU0 [ 82.890906] ---- [ 82.890906] bloqueo(&sch->q.lock); [ 82.890906] bloqueo(&sch->q.lock); [ 82.890906] [ 82.890906] *** DEADLOCK *** [ 82.890906] [..... otra información eliminada por brevedad....] Ejemplo de configuración (eth0->eth0) para recrear tc qdisc agregar dev eth0 identificador raíz 1 : htb default 30 tc filter add dev eth0 handle 1: protocolo ip prio 2 matchall \ action mirred egress redirigir dev eth0 Otro ejemplo (eth0->eth1->eth0) para recrear tc qdisc add dev eth0 root handle 1: htb default 30 tc filtro agregar dev eth0 identificador 1: protocolo ip prio 2 matchall \ acción redirección de salida reflejada dev eth1 tc qdisc agregar dev eth1 identificador raíz 1: htb predeterminado 30 tc filtro agregar dev eth1 identificador 1: protocolo ip prio 2 matchall \ acción duplicada redirección de salida dev eth0 Solucionamos esto agregando un campo de propietario (ID de CPU) a la estructura Qdisc establecida después de ingresar la qdisc raíz. Cuando el softirq ingresa por segunda vez, si el propietario de la qdisc es la misma CPU, el paquete se descarta para romper el bucle.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: netfilter: nf_tables: corrige memleak en el mapa de la ruta de aborto El comando eliminar conjunto no depende del objeto de transacción para la eliminación de elementos, por lo tanto, se puede usar una combinación de eliminar elemento + eliminar conjunto del abortar la ruta podría resultar en restaurar el doble del recuento del mapeo. Verifique si hay elementos inactivos en la próxima generación para el comando de eliminación de elementos en la ruta de cancelación, omita el estado de restauración si el bit de próxima generación ya se ha borrado. Esto es similar a la lógica de activación usando el iterador de caminata establecido. [6170.286929] ------------[ cortar aquí ]------------ [ 6170.286939] ADVERTENCIA: CPU: 6 PID: 790302 en net/netfilter/nf_tables_api.c :2086 nf_tables_chain_destroy+0x1f7/0x220 [nf_tables] [ 6170.287071] Módulos vinculados en: [...] [ 6170.287633] CPU: 6 PID: 790302 Comm: kworker/6:2 No contaminado 6.9.0-rc3+ #365 [ 768] RIP: 0010:nf_tables_chain_destroy+0x1f7/0x220 [nf_tables] [6170.287886] Código: df 48 8d 7d 58 e8 69 2e 3b df 48 8b 7d 58 e8 80 1b 37 df 48 8d 7d 68 e8 57 2e 3b gl 48 8b 7d 68 e8 6e 1b 37 df 48 89 ef eb c4 <0f> 0b 48 83 c4 08 5b 5d 41 5c 41 5d 41 5e 41 5f c3 cc cc cc 0f [ 6170.287895] RSP: 0018:ffff888134b8fd08 LAGS: 00010202 [6170.287904] RAX: 0000000000000001 RBX: ffff888125bffb28 RCX: dffffc0000000000 [ 6170.287912] RDX: 0000000000000003 RSI: ffffffffa20298ab RDI: ffff88811ebe4750 [ 6170.287919] RBP: 811ebe4700 R08: ffff88838e812650 R09: ffffbfff0623a55 [ 6170.287926] R10: ffffffff8311d2af R11: 00000000000000001 R12: ffff888125bffb10 [ 6170.287 933] R13: ffff888125bffb10 R14: muerto000000000122 R15: muerto000000000100 [ 6170.287940] FS: 0000000000000000(0000) GS:ffff888390b00000(0000) knlGS:0000000000000000 [ 6170.287 948] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 6170.287955] CR2: 00007fd31fc00710 CR3: 0000000133f60004 CR4: 00000000001706f0 [ 6170.287962] Seguimiento de llamadas: [ 6170.287967] [ 6170.287973] ? __advertir+0x9f/0x1a0 [6170.287986] ? nf_tables_chain_destroy+0x1f7/0x220 [nf_tables] [6170.288092]? report_bug+0x1b1/0x1e0 [6170.287986]? nf_tables_chain_destroy+0x1f7/0x220 [nf_tables] [6170.288092]? report_bug+0x1b1/0x1e0 [6170.288104]? handle_bug+0x3c/0x70 [6170.288112]? exc_invalid_op+0x17/0x40 [6170.288120]? asm_exc_invalid_op+0x1a/0x20 [6170.288132]? nf_tables_chain_destroy+0x2b/0x220 [nf_tables] [6170.288243]? nf_tables_chain_destroy+0x1f7/0x220 [nf_tables] [6170.288366]? nf_tables_chain_destroy+0x2b/0x220 [nf_tables] [ 6170.288483] nf_tables_trans_destroy_work+0x588/0x590 [nf_tables]

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: netfilter: nf_tables: restaurar elementos del conjunto cuando falla la eliminación del conjunto Desde la ruta de cancelación, nft_mapelem_activate() necesita restaurar los contadores de referencia al estado original. Actualmente, utiliza set->ops->walk() para iterar sobre estos elementos del conjunto. El iterador de conjunto existente omite elementos inactivos en la próxima generación; esto no funciona desde la ruta de cancelación para restaurar el estado original ya que tiene que omitir elementos activos (no inactivos). Este parche mueve la verificación de elementos inactivos a la devolución de llamada del iterador establecido, luego invierte la lógica para el caso .activate que necesita omitir elementos activos. Cambie el bit de próxima generación para los elementos cuando se invoque el comando eliminar conjunto y llame a nft_clear() desde la ruta .activate (abortar) para restaurar el bit de próxima generación. El siguiente símbolo muestra un objeto en asignaciones memleak: [43929.457523] ------------[ cortar aquí ]------------ [43929.457532] ADVERTENCIA: CPU: 0 PID : 1139 en include/net/netfilter/nf_tables.h:1237 nft_setelem_data_deactivate+0xe4/0xf0 [nf_tables] [...] [43929.458014] RIP: 0010:nft_setelem_data_deactivate+0xe4/0xf0 [nf_tables] ] Código: 83 f8 01 77 ab 49 8d 7c 24 08 e8 37 5e d0 de 49 8b 6c 24 08 48 8d 7d 50 e8 e9 5c d0 de 8b 45 50 8d 50 ff 89 55 50 85 c0 75 86 <0f> 0b eb 82 0f 0b eb b3 0f 1f 40 00 90 90 90 90 90 90 90 90 90 90 [43929.458081] RSP: 0018:ffff888140f9f4b0 EFLAGS: 00010246 [43929.458086] RAX: 000000000000000 0 RBX: ffff8881434f5288 RCX: dffffc0000000000 [43929.458090] RDX: 00000000ffffffff RSI: ffffffffa26d28a7 RDI: ffff88810ecc9550 [43929.458093 ] RBP: ffff88810ecc9500 R08: 0000000000000001 R09: ffffed10281f3e8f [43929.458096] R10: 00000000000000003 R11: ffff0000ffff0000 R12: 4f52a0 [43929.458100] R13: ffff888140f9f5f4 R14: ffff888151c7a800 R15: 0000000000000002 [43929.458103] FS: 00007f0c687c4740(0000) 88390800000(0000) knlGS :0000000000000000 [43929.458107] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [43929.458111] CR2: 00007f58dbe5b008 CR3: 00000001236020 05 CR4: 00000000001706f0 [43929.458114] Seguimiento de llamadas: [43929.458118] [43929.458121] ? __advertir+0x9f/0x1a0 [43929.458127] ? nft_setelem_data_deactivate+0xe4/0xf0 [nf_tables] [43929.458188] ? report_bug+0x1b1/0x1e0 [43929.458196] ? handle_bug+0x3c/0x70 [43929.458200] ? exc_invalid_op+0x17/0x40 [43929.458211] ? nft_setelem_data_deactivate+0xd7/0xf0 [nf_tables] [43929.458271] ? nft_setelem_data_deactivate+0xe4/0xf0 [nf_tables] [43929.458332] nft_mapelem_deactivate+0x24/0x30 [nf_tables] [43929.458392] nft_rhash_walk+0xdd/0x180 [nf_tables] 53] ? __pfx_nft_rhash_walk+0x10/0x10 [nf_tables] [43929.458512] ? rb_insert_color+0x2e/0x280 [43929.458520] nft_map_deactivate+0xdc/0x1e0 [nf_tables] [43929.458582] ? __pfx_nft_map_deactivate+0x10/0x10 [nf_tables] [43929.458642] ? __pfx_nft_mapelem_deactivate+0x10/0x10 [nf_tables] [43929.458701] ? __rcu_read_unlock+0x46/0x70 [43929.458709] nft_delset+0xff/0x110 [nf_tables] [43929.458769] nft_flush_table+0x16f/0x460 [nf_tables] [43929.458830] 501/0x580 [nf_tables]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tun: limita la velocidad de impresión cuando el paquete ilegal recibido por tun dev vhost_worker llamará a tun para recibir paquetes. Si llegan demasiados paquetes ilegales, tun_do_read seguirá descargando el contenido de los paquetes. Cuando la consola está habilitada, le costará mucho más tiempo a la CPU volcar el paquete y se detectará un bloqueo suave. El mecanismo net_ratelimit se puede utilizar para limitar la tasa de dumping. PID: 33036 TAREA: ffff949da6f20000 CPU: 23 COMANDO: "vhost-32980" #0 [fffffe00003fce50] crash_nmi_callback en ffffffff89249253 #1 [fffffe00003fce58] nmi_handle en ffffffff89225fa3 #2 00003fceb0] default_do_nmi en ffffffff8922642e #3 [fffffe00003fced0] do_nmi en ffffffff8922660d #4 [fffffe00003fcef0] end_repeat_nmi en ffffffff89c01663 [excepción RIP: io_serial_in+20] RIP: ffffffff89792594 RSP: ffffa655314979e8 RFLAGS: 00000002 RAX: ffffffff89792500 RBX: ff8af428a0 RCX: 0000000000000000 RDX: 00000000000003fd RSI: 0000000000000005 RDI: ffffffff8af428a0 RBP: 0000000000002710 R8: 00000000000000004 R9: 000000000000000f R10: 0000000000000000 R11: ffffffff8acbf64f R12: 0000000000000020 R13: ffffffff8acbf698 R14: 00000000000000058 R15: 0000000000000000 ORIG_RAX: ffffffffffffffff CS: 0010 SS: 0018 #5 [ffffa655314979e8] io_serial_in en ffffffff89792594 #6 [ffffa655314979e8] wait_for_xmitr en ffffffff89793470 #7 [ffffa65531497a08] console_putchar en ffffffff897934f6 #8 [ffffa65531497a20] uart_console_write en ffffffff8978b605 #9 [ffffa65531497a48] serial8250_console_write en ffffffff89796558 #10 [ffffa65531497ac8] console_unlock en ffffffff8 9316124 #11 [ffffa65531497b10] vprintk_emit en ffffffff89317c07 #12 [ffffa65531497b68] printk en ffffffff89318306 #13 [ffffa65531497bc8] print_hex_dump en ffffffff89650765 # 14 [ffffa65531497ca8] tun_do_read en ffffffffc0b06c27 [tun] #15 [ffffa65531497d38] tun_recvmsg en ffffffffc0b06e34 [tun] #16 [ffffa65531497d68] handle_rx en ffffffffc0c5d682 [vhost_net] #17 [ffffa65531497ed0] vhost_worker en ffffffffc0c644dc [vhost] #18 [ffffa65531497f10] kthread en ffffffff892d2e72 #19 [ffffa65531497f50] ret_from_fork en ffffffff89c0022f

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm: nv04: corregir el acceso fuera de los límites Cuando se asigna el valor del recurso de salida (dcb->or) en fabricate_dcb_output(), puede haber acceso fuera de los límites a la matriz dac_users en caso de que dcb->or es cero porque ffs(dcb->or) se usa como índice allí. El argumento 'o' de fabricate_dcb_output() debe interpretarse como un número de bits a configurar, no como un valor. Utilice macros de 'enum nouveau_or' en las llamadas en lugar de codificarlas. Encontrado por el Centro de verificación de Linux (linuxtesting.org) con SVACE.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: clk: mediatek: realice un PM en tiempo de ejecución en los controladores durante la prueba mt8183-mfgcfg tiene una dependencia mutua con genpd durante la etapa de prueba, lo que conduce a un punto muerto en la siguiente pila de llamadas: CPU0: genpd_lock --> clk_prepare_lock genpd_power_off_work_fn() genpd_lock() generic_pm_domain::power_off() clk_unprepare() clk_prepare_lock() CPU1: clk_prepare_lock --> genpd_lock clk_register() __clk_core_init() clk_prepare_lock() clk_pm_runtime_get() genpd_lock() Hacer un tiempo de ejecución PM acceda a la función de sonda para asegurarse de que clk_register() no adquiera el bloqueo genpd. En lugar de modificar únicamente mt8183-mfgcfg, haga esto en todas las pruebas del controlador de reloj mediatek porque no creemos que esto cause ninguna regresión. Verificado en Chromebooks MT8183 y MT8192.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: clk: Obtenga PM en tiempo de ejecución antes de recorrer el árbol para clk_summary De manera similar a el commit anterior, debemos asegurarnos de que todos los dispositivos se reanuden en tiempo de ejecución antes de imprimir clk_summary a través de debugfs. No hacerlo resultaría en un punto muerto si el subproceso está reanudando un dispositivo para imprimir el estado de clk y ese dispositivo también está reanudando el tiempo de ejecución en otro subproceso, por ejemplo, la pantalla se enciende y el controlador de pantalla se está iniciando. Eliminamos las llamadas a clk_pm_runtime_{get,put}() en esta ruta porque son superfluas ahora que sabemos que los dispositivos se han reanudado en tiempo de ejecución. Esto también soluciona un error por el cual el valor de retorno de clk_pm_runtime_get() no se verificaba, lo que provocaba un desbordamiento insuficiente del recuento de RPM en las rutas de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: interconexión: no acceder a req_list mientras se está manipulando. El mutex icc_lock se dividió en mutex icc_lock e icc_bw_lock separados en [1] para evitar símbolos de bloqueo. Sin embargo, esto no protegió adecuadamente el acceso a icc_node::req_list. La función icc_set_bw() eventualmente iterará sobre req_list mientras solo mantiene icc_bw_lock, pero req_list se puede modificar mientras solo mantiene icc_lock. Esto provoca ejecucións entre icc_set_bw(), of_icc_get() e icc_put(). Ejemplo A: CPU0 CPU1 ---- ---- icc_set_bw(path_a) mutex_lock(&icc_bw_lock); icc_put(ruta_b) mutex_lock(&icc_lock); agregado_requests() hlist_for_each_entry(r, ... hlist_del(... Ejemplo B: CPU0 CPU1 ---- ---- icc_set_bw(path_a) mutex_lock(&icc_bw_lock); path_b = of_icc_get() of_icc_get_by_index( ) mutex_lock(&icc_lock); path_find() path_init() agregado_requests() hlist_for_each_entry(r, ... hlist_add_head(... Solucione este problema asegurándose de que icc_bw_lock siempre se mantenga antes de manipular icc_node::req_list. El adicional Los lugares donde se mantiene icc_bw_lock no realizan ninguna asignación de memoria, por lo que aún deberíamos estar a salvo de los símbolos de bloqueo originales que motivaron los bloqueos separados [1] commit af42269c3523 ("interconexión: arreglar el bloqueo para runpm vs reclaim")