Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: RDMA/mlx5: inicialice el xarray ODP al crear un ODP MR. Normalmente, el relleno con ceros ocultaría la inicialización faltante, pero un conjunto erróneo en desc_size en reg_create() provoca un bloqueo: ERROR : no se puede manejar el error de página para la dirección: 0000000800000000 PGD 0 P4D 0 Ups: 0000 [#1] SMP PTI CPU: 5 PID: 890 Comm: ib_write_bw Not tainted 5.15.0-rc4+ #47 Nombre de hardware: PC estándar QEMU (Q35 + ICH9, 2009), BIOS REL-1.13.0-0-GF21B5A4AB02-PreBuilt e8 37 30 03 e1 48 8b 0c 24 eb a0 90 0f 1f 44 00 00 41 56 41 55 41 54 55 53 48 89 fb 48 83 ec 30 <48> 8b 2f 65 48 8b 04 25 28 00 0 00 48 89 44 24 28 31 c0 8b 87 c8 RSP: 0018:ffff88811afa3a60 EFLAGS: 00010286 RAX: 000000000000001c RBX: 0000000800000000 RCX: 0000000000000000 RDX: 00000000000 RSI: 0000000000000000 RDI: 0000000800000000 RBP: 0000000800000000 R08: 0000000000000000 R09: c0000000fffff7ff R10: 8f8 R11: ffff88811afa38f0 R12: fffffffa02c7ac0 R13: 00000000000000000000 R14: FFFF88811AFA3CD8 R15: FFFFF888810772200 FS: 00007F47B9080740 (0000) GS: FFFF88852CD40000 (0000) Knlgs: 00000000000000 C. : 0000000080050033 CR2: 0000000800000000 CR3: 000000010761E003 CR4: 0000000000370EA0 DR0: 000000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: mlx5_ib_free_odp_mr+0x95/0xc0 5_ib] mlx5_ib_dereg_mr+0x128/0x3b0 [mlx5_ib] ib_dereg_mr_user+0x45/0xb0 [ib_core] ? xas_load+0x8/0x80 destroy_hw_idr_uobject+0x1a/0x50 [ib_uverbs] uverbs_destroy_uobject+0x2f/0x150 [ib_uverbs] uobj_destroy+0x3c/0x70 [ib_uverbs] ib_uverbs_cmd_verbs+0x467/0xb00 [ib_uver bs] ? uverbs_finalize_object+0x60/0x60 [ib_uverbs]? ttwu_queue_wakelist+0xa9/0xe0 ? pty_write+0x85/0x90? file_tty_write.isra.33+0x214/0x330 ? Process_echoes+0x60/0x60 ib_uverbs_ioctl+0xa7/0x110 [ib_uverbs] __x64_sys_ioctl+0x10d/0x8e0? vfs_write+0x17f/0x260 do_syscall_64+0x3c/0x80 Entry_SYSCALL_64_after_hwframe+0x44/0xae Agregue la inicialización de xarray que falta y elimine el conjunto desc_size.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: batman-adv: corrección de manejo de errores Syzbot informó advertencia ODEBUG en batadv_nc_mesh_free(). El problema estaba en el manejo incorrecto de errores en batadv_mesh_init(). Antes de este parche, batadv_mesh_init() llamaba a batadv_mesh_free() en caso de que fallara alguna llamada a batadv_*_init(). Este enfoque puede funcionar bien cuando hay algún tipo de indicador que puede indicar qué partes de batadv están inicializadas; pero no hay ninguno. Todo lo escrito anteriormente conduce a la sanitización de campos no inicializados. Incluso si ocultamos la advertencia ODEBUG inicializando bat_priv->nc.work, syzbot pudo presionar GPF en batadv_nc_purge_paths(), porque el puntero hash todavía es NULL. [1] Para corregir estos errores podemos desenredar las llamadas batadv_*_init() una por una. Es un buen enfoque por 2 razones: 1) Corrige errores en la ruta de manejo de errores 2) Mejora el rendimiento, ya que no llamaremos a funciones batadv_*_free() innecesarias. Entonces, este parche hace que batadv_*_init() limpie toda la memoria asignada antes de regresar con un error de no llamada correspondiente a batadv_*_free() y códigos abiertos batadv_mesh_free() con el orden adecuado para evitar tocar campos no inicializados.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: regmap: corrige posible doble liberación en regcache_rbtree_exit() En regcache_rbtree_insert_to_block(), cuando la realloc 'presente' fallaba, el 'blk' que se supone debe asignarse a 'rbnode->block ' se liberará, por lo que 'rbnode->block' apunta a una memoria liberada, en la ruta de manejo de errores de regcache_rbtree_init(), 'rbnode->block' se liberará nuevamente en regcache_rbtree_exit(), KASAN informará la doble liberación de la siguiente manera : ERROR: KASAN: doble libre o no válido en kfree+0xce/0x390 Rastreo de llamadas: slab_free_freelist_hook+0x10d/0x240 kfree+0xce/0x390 regcache_rbtree_exit+0x15d/0x1a0 regcache_rbtree_init+0x224/0x2c0 regcache_init+0x88d/ 0x1310 __regmap_init+0x3151/ 0x4a80 __devm_regmap_init+0x7d/0x100 madera_spi_probe+0x10f/0x333 [madera_spi] spi_probe+0x183/0x210 Actually_probe+0x285/0xc30 Para solucionar este problema, mueva hacia arriba la asignación de rbnode->block inmediatamente después de que la reasignación se haya realizado correctamente para que la estructura de datos permanezca válido incluso si la segunda reasignación falla.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: octeontx2-af: Se corrige posible desreferencia del puntero nulo. Este parche corrige la posible desreferencia del puntero nulo en los archivos "rvu_debugfs.c" y "rvu_nix.c"

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: IB/qib: Protege contra el desbordamiento del búfer en los campos de struct qib_user_sdma_pkt. El desbordamiento de addrlimit o bytes_togo puede permitir que el espacio de usuario desencadene un desbordamiento del búfer de la memoria del kernel. Compruebe si hay desbordamientos en todos los lugares que realizan cálculos en búferes controlados por el usuario.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: riscv, bpf: corrige una posible desreferencia NULL La función bpf_jit_binary_free() requiere un argumento que no sea NULL. Cuando el JIT BPF de RISC-V no logra converger en los pasos NR_JIT_ITERATION, jit_data->header será NULL, lo que desencadena una desreferencia NULL. Evite esto verificando el argumento antes de llamar a la función.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: corrección de escritura fuera de los límites. El tamaño puede ser cualquier valor y está controlado por el usuario, lo que provoca la sobrescritura de la matriz de 40 bytes wr_buf con una longitud arbitraria de datos de buf.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: cgroup: corrige la pérdida de memoria causada por la falta de cgroup_bpf_offline Al habilitar CONFIG_CGROUP_BPF, se puede observar kmemleak ejecutando el siguiente comando: $mount -t cgroup -o none,name=foo cgroup cgroup / $umount cgroup/ objeto sin referencia 0xc3585c40 (tamaño 64): comm "mount", pid 425, sjiffies 4294959825 (edad 31.990s) volcado hexadecimal (primeros 32 bytes): 01 00 00 80 84 8c 28 c0 00 00 00 00 00 00 00 00 ......(....... 00 00 00 00 00 00 00 00 6c 43 a0 c3 00 00 00 00 ........lC...... retroceso : [] cgroup_bpf_inherit+0x44/0x24c [<1f03679c>] cgroup_setup_root+0x174/0x37c [] cgroup1_get_tree+0x2c0/0x4a0 [] 8 [] ruta_montaje+0x384/ 0x988 [] do_mount+0x64/0x9c [<208c9cfe>] sys_mount+0xfc/0x1f4 [<06dd06e0>] ret_fast_syscall+0x0/0x48 [] 0xbeb4daa8 Esto se debe a que desde El commit 2b0d3d3e4f cf ("percpu_ref: reducir huella de memoria de percpu_ref en la ruta rápida") root_cgrp->bpf.refcnt.data es asignada por la función percpu_ref_init en cgroup_bpf_inherit, que es llamada por cgroup_setup_root al montar, pero no se libera junto con root_cgrp al desmontar. Agregar cgroup_bpf_offline que llama a percpu_ref_kill a cgroup_kill_sb puede liberar root_cgrp->bpf.refcnt.data en la ruta de montaje. Este parche también corrige el commit 4bfc0bb2c60e ("bpf: desacople la vida útil de cgroup_bpf del propio cgroup"). Se necesita cgroup_bpf_offline para realizar una sanitización que libere los recursos asignados por cgroup_bpf_inherit en cgroup_setup_root. Y dentro de cgroup_bpf_offline, cgroup_get() está al principio y cgroup_put está al final de cgroup_bpf_release, que es llamado por cgroup_bpf_offline. Entonces cgroup_bpf_offline puede mantener el saldo del recuento de cgroup.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/ttm: corrige memleak en ttm_transfered_destroy También necesitamos limpiar las barreras para detectar objetos fantasma. Error: https://bugzilla.kernel.org/show_bug.cgi?id=214029 Error: https://bugzilla.kernel.org/show_bug.cgi?id=214447

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: khugepaged: omitir el colapso de página enorme para archivos especiales El THP de solo lectura para sistemas de archivos colapsará el THP para archivos abiertos de solo lectura y asignados con VM_EXEC. El caso de uso previsto es evitar errores de TLB en segmentos de texto grandes. Pero no restringe los tipos de archivos, por lo que un THP podría contraerse para un archivo no normal, por ejemplo, un dispositivo de bloqueo, si se abre en modo de solo lectura y se asigna con permiso EXEC. Esto puede causar errores, como [1] y [2]. Definitivamente este no es el caso de uso previsto, así que simplemente contraiga THP para archivos normales para cerrar la superficie de ataque. [shy828301@gmail.com: corrige la verificación de vm_file [3]]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: corrige aún más escrituras fuera de los límites desde debugfs CVE-2021-42327 fue solucionado por: commit f23750b5b3d98653b31d4469592935ef6364ad67 Autor: Thelford Williams Fecha: miércoles 13 de octubre 16:04:13 2021 -0400 drm/amdgpu: corrige la escritura fuera de los límites, pero amdgpu_dm_debugfs.c contiene más del mismo problema, así que solucione los restantes. v2: * Agregar corrección faltante en dp_max_bpc_write (Harry Wentland)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: comedi: vmk80xx: corrige el desbordamiento masivo del búfer El controlador utiliza búferes del tamaño de un endpoint, pero no debe asumir que los búferes tx y rx son del mismo tamaño o un dispositivo malicioso podría desbordar el búfer de recepción asignado por losa al realizar transferencias masivas.