Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: af_unix: elimine la referencia oob_skb antes de purgar la cola en GC. syzbot informó que otra tarea se colgó en __unix_gc(). [0] El bucle while actual supone que todos los candidatos restantes tienen oob_skb y llamar a kfree_skb(oob_skb) libera los candidatos restantes. Sin embargo, me perdí un caso en el que oob_skb tiene fd autorreferenciado y otro fd y el último sk se coloca antes que el primero en la lista de candidatos. Luego, el ciclo while nunca continúa, lo que provoca que la tarea se bloquee. __unix_gc() tiene el mismo bucle justo antes de purgar el skb recopilado, por lo que podemos llamar a kfree_skb(oob_skb) allí y dejar que __skb_queue_purge() libere todos los sockets en vuelo. [0]: Envío de NMI desde la CPU 0 a las CPU 1: seguimiento de NMI para la CPU 1 CPU: 1 PID: 2784 Comm: kworker/u4:8 Not tainted 6.8.0-rc4-syzkaller-01028-g71b605d32017 #0 Nombre de hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 25/01/2024 Cola de trabajo: events_unbound __unix_gc RIP: 0010:__sanitizer_cov_trace_pc+0x0/0x70 kernel/kcov.c:200 Código: 89 fb e8 23 00 00 00 48 8b 3d 84 f5 1a 0c 48 89 de 5b e9 43 26 57 00 0f 1f 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 0f 1e fa 48 8b 04 24 65 48 8b 0d 90 5 2 70 7e 65 8b 15 91 52 70 RSP: 0018:ffffc9000a17fa78 EFLAGS: 00000287 RAX: ffffffff8a0a6108 RBX: ffff88802b6c2640 RCX: ffff88802c0b3b80 RDX: 0000000000000000 RSI: 0 000000000000002 RDI: 0000000000000000 RBP: ffffc9000a17fbf0 R08: ffffffff89383f1d R09: 1ffff1100ee5ff84 R10: dffffc0000000000 R11: ffffed100ee5ff85 R12: 1ffff110056d84ee R13: ffffc9000a17fae0 R14: 0000000000000000 R15: ffffffff8f47b840 FS: 0000000000000000(0000) GS:ffff8880b9500000(0000) knlGS:00000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007ffef5687ff8 CR3: 0000000029b34000 CR4: 00000000003506f0 DR0: 00000000000000000 DR1: 00000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: __unix_gc+0xe69/0xf40 net/unix/garbage.c:343 proceso _one_work kernel/workqueue.c:2633 [en línea] proceso_scheduled_works+ 0x913/0x1420 kernel/workqueue.c:2706 trabajador_thread+0xa5f/0x1000 kernel/workqueue.c:2787 kthread+0x2ef/0x390 kernel/kthread.c:388 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1b/0x30 arch/x86/entry/entry_64.S:242

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: af_unix: se corrigió la tarea bloqueada al purgar oob_skb en GC. syzbot informó que se había colgado una tarea; al mismo tiempo, GC hacía un bucle infinito en list_for_each_entry_safe() para OOB skb. [0] syzbot demostró que list_for_each_entry_safe() en realidad no era seguro en este caso. Un solo skb podría tener referencias para múltiples sockets. Si liberamos dicho skb en list_for_each_entry_safe(), los sockets actual y siguiente podrían desvincularse en una sola iteración. unix_notinflight() usa list_del_init() para desvincular el socket, por lo que el siguiente socket precargado forma un bucle y list_for_each_entry_safe() nunca se detiene. Aquí, debemos usar while() y asegurarnos de buscar siempre el primer socket. [0]: Envío de NMI desde la CPU 0 a las CPU 1: seguimiento de NMI para la CPU 1 CPU: 1 PID: 5065 Comm: syz-executor236 Not tainted 6.8.0-rc3-syzkaller-00136-g1f719a2f3fa6 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 25/01/2024 RIP: 0010:preempt_count arch/x86/include/asm/preempt.h:26 [en línea] RIP: 0010:check_kcov_mode kernel/kcov.c:173 [en línea] RIP : 0010:__sanitizer_cov_trace_pc+0xd/0x60 kernel/kcov.c:207 Código: cc cc cc cc 66 0f 1f 84 00 00 00 00 00 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 f3 0f 1e fa 65 48 8b 14 25 40 c2 03 00 <65> 8b 05 b4 7c 78 7e a9 00 01 ff 00 48 8b 34 24 74 0f f6 c4 01 74 RSP: 0018:ffffc900033efa58 EFLAGS: 00000283 RAX: ffff88807b077800 RBX: ffff88807b077800 RCX: 1ffffffff27b1189 RDX: ffff88802a5a3b80 RSI: ffffffff8968488d RDI: ffff88807b077f70 RBP: ffffc900033efbb0 R08: 00000000000000001 R09: ffffbfff27a900c R10: ffffffff93d48067 R11: ffffffff8ae000eb R12: ffff88807b077800 R13: dffffc0000000000 R14: ffff88807b077e40 R15: 00000000000000001 FS: 0000000000000000(0000) GS:ffff888 0b9500000(0000) knlGS: 0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000564f4fc1e3a8 CR3: 000000000d57a000 CR4: 00000000003506f0 DR0: 00 00000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: unix_gc+0x563/0x13b0 net/unix/garbage.c:319 unix_release_sock+0xa93/0xf80 net/unix/af_unix.c:683 unix_release+0x91/0xf0 net/unix/af_unix.c:1064 __sock_release+0xb0/0x270 net/socket.c:659 sock_close+0x1c/0x30 net/socket.c:1421 __fput+0x270/0xb80 fs/file_table.c:376 task_work_run+0x14f/0x250 kernel/task_work.c:180 exit_task_work include/linux/task_work. h:38 [en línea] do_exit+0xa8a/0x2ad0 kernel/exit.c:871 do_group_exit+0xd4/0x2a0 kernel/exit.c:1020 __do_sys_exit_group kernel/exit.c:1031 [en línea] __se_sys_exit_group kernel/exit.c:1029 [ en línea] __x64_sys_exit_group+0x3e/0x50 kernel/exit.c:1029 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xd5/0x270 arch/x86/entry/common.c:83 Entry_SYSCALL_64_after_hwframe+0x6f/ 0x77 RIP: 0033:0x7f9d6cbdac09 Código: No se puede acceder a los bytes del código de operación en 0x7f9d6cbdabdf. RSP: 002b:00007fff5952feb8 EFLAGS: 00000246 ORIG_RAX: 00000000000000e7 RAX: ffffffffffffffda RBX: 00000000000000000 RCX: 00007f9d6cbdac09 RDX: 00000000 0000003c RSI: 00000000000000e7 RDI: 00000000000000000 RBP: 00007f9d6cc552b0 R08: ffffffffffffffffb8 R09: 0000000000000006 R10: 00000000000000006 R1 1: 0000000000000246 R12: 00007f9d6cc552b0 R13: 0000000000000000 R14: 00007f9d6cc55d00 R15: 00007f9d6cbabe70

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: mptcp: corrige un posible punto muerto en el diagnóstico de subflujo Syzbot y Eric informaron sobre un bloqueo de bloqueo en el diagnóstico de subflujo: ADVERTENCIA: se detectó posible dependencia de bloqueo circular 6.8.0-rc4-syzkaller-00212-g40b9385dd8e6 #0 Not tainted syz-executor.2/24141 is trying to acquire lock: ffff888045870130 (k-sk_lock-AF_INET6){+.+.}-{0:0}, at: tcp_diag_put_ulp net/ipv4/tcp_diag.c:100 [inline] ffff888045870130 (k-sk_lock-AF_INET6){+.+.}-{0:0}, at: tcp_diag_get_aux+0x738/0x830 net/ipv4/tcp_diag.c:137 but task is already holding lock: ffffc9000135e488 (&h->lhash2[i].lock){+.+.}-{2:2}, at: spin_lock include/linux/spinlock.h:351 [inline] ffffc9000135e488 (&h->lhash2[i].lock){+.+.}-{2:2}, at: inet_diag_dump_icsk+0x39f/0x1f80 net/ipv4/inet_diag.c:1038 which lock already depends on the new lock. the existing dependency chain (in reverse order) is: -> #1 (&h->lhash2[i].lock){+.+.}-{2:2}: lock_acquire+0x1e3/0x530 kernel/locking/lockdep.c:5754 __raw_spin_lock include/linux/spinlock_api_smp.h:133 [inline] _raw_spin_lock+0x2e/0x40 kernel/locking/spinlock.c:154 spin_lock include/linux/spinlock.h:351 [inline] __inet_hash+0x335/0xbe0 net/ipv4/inet_hashtables.c:743 inet_csk_listen_start+0x23a/0x320 net/ipv4/inet_connection_sock.c:1261 __inet_listen_sk+0x2a2/0x770 net/ipv4/af_inet.c:217 inet_listen+0xa3/0x110 net/ipv4/af_inet.c:239 rds_tcp_listen_init+0x3fd/0x5a0 net/rds/tcp_listen.c:316 rds_tcp_init_net+0x141/0x320 net/rds/tcp.c:577 ops_init+0x352/0x610 net/core/net_namespace.c:136 __register_pernet_operations net/core/net_namespace.c:1214 [inline] register_pernet_operations+0x2cb/0x660 net/core/net_namespace.c:1283 register_pernet_device+0x33/0x80 net/core/net_namespace.c:1370 rds_tcp_init+0x62/0xd0 net/rds/tcp.c:735 do_one_initcall+0x238/0x830 init/main.c:1236 do_initcall_level+0x157/0x210 init/main.c:1298 do_initcalls+0x3f/0x80 init/main.c:1314 kernel_init_freeable+0x42f/0x5d0 init/main.c:1551 kernel_init+0x1d/0x2a0 init/main.c:1441 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1b/0x30 arch/x86/entry/entry_64.S:242 -> #0 (k-sk_lock-AF_INET6){+.+.}-{0:0}: check_prev_add kernel/locking/lockdep.c:3134 [inline] check_prevs_add kernel/locking/lockdep.c:3253 [inline] validate_chain+0x18ca/0x58e0 kernel/locking/lockdep.c:3869 __lock_acquire+0x1345/0x1fd0 kernel/locking/lockdep.c:5137 lock_acquire+0x1e3/0x530 kernel/locking/lockdep.c:5754 lock_sock_fast include/net/sock.h:1723 [inline] subflow_get_info+0x166/0xd20 net/mptcp/diag.c:28 tcp_diag_put_ulp net/ipv4/tcp_diag.c:100 [inline] tcp_diag_get_aux+0x738/0x830 net/ipv4/tcp_diag.c:137 inet_sk_diag_fill+0x10ed/0x1e00 net/ipv4/inet_diag.c:345 inet_diag_dump_icsk+0x55b/0x1f80 net/ipv4/inet_diag.c:1061 __inet_diag_dump+0x211/0x3a0 net/ipv4/inet_diag.c:1263 inet_diag_dump_compat+0x1c1/0x2d0 net/ipv4/inet_diag.c:1371 netlink_dump+0x59b/0xc80 net/netlink/af_netlink.c:2264 __netlink_dump_start+0x5df/0x790 net/netlink/af_netlink.c:2370 netlink_dump_start include/linux/netlink.h:338 [inline] inet_diag_rcv_msg_compat+0x209/0x4c0 net/ipv4/inet_diag.c:1405 sock_diag_rcv_msg+0xe7/0x410 netlink_rcv_skb+0x1e3/0x430 net/netlink/af_netlink.c:2543 sock_diag_rcv+0x2a/0x40 net/core/sock_diag.c:280 netlink_unicast_kernel net/netlink/af_netlink.c:1341 [inline] netlink_unicast+0x7ea/0x980 net/netlink/af_netlink.c:1367 netlink_sendmsg+0xa3b/0xd70 net/netlink/af_netlink.c:1908 sock_sendmsg_nosec net/socket.c:730 [inline] __sock_sendmsg+0x221/0x270 net/socket.c:745 ____sys_sendmsg+0x525/0x7d0 net/socket.c:2584 ___sys_sendmsg net/socket.c:2638 [inline] __sys_sendmsg+0x2b0/0x3a0 net/socket.c:2667 do_syscall_64+0xf9/0x240 entry_SYSCALL_64_after_hwframe+0x6f/0x77 Como señaló Eric, podemos romper la cadena de dependencia de bloqueo evitar el vertido ---truncado---

El control de acceso incorrecto en ITB-GmbH TradePro v9.5 permite a atacantes remotos recibir todos los pedidos de la tienda en línea a través del componente oordershow en la función de cliente.

Se ha identificado un problema en la función de configuración adicional de VM (extraconfig) de CloudStack que puede ser utilizada indebidamente por cualquier persona que tenga privilegios para implementar una instancia de VM o configurar los ajustes de una instancia de VM ya implementada, para modificar ajustes adicionales de VM incluso cuando la función no está habilitado explícitamente por el administrador. En un entorno CloudStack basado en KVM, un atacante puede aprovechar este problema para conectar dispositivos host, como discos de almacenamiento, y dispositivos PCI y USB, como adaptadores de red y GPU, en una instancia de VM normal que puede explotarse aún más para obtener acceso a recursos de infraestructura de red y almacenamiento, y acceder a cualquier disco de instancia de VM en el almacenamiento local. Se recomienda a los usuarios que actualicen a la versión 4.18.1.1 o 4.19.0.1, que soluciona este problema.

Se descubrió un problema en SeaCMS versión 12.9, que permite a atacantes remotos ejecutar código arbitrario a través de admin notify.php.

Una vulnerabilidad de Cross Site Scripting (XSS) en ZoneMinder anterior a la versión 1.34.21, permite a atacantes remotos ejecutar código arbitrario, escalar privilegios y obtener información confidencial a través del componente PHP_SELF en classic/views/download.php.

De forma predeterminada, el servidor de administración de CloudStack respeta el encabezado HTTP x-forwarded-for y lo registra como la IP de origen de una solicitud de API. Esto podría provocar una omisión de autenticación y otros problemas operativos si un atacante decide falsificar su dirección IP de esta manera. Se recomienda a los usuarios actualizar a la versión 4.18.1.1 o 4.19.0.1 de CloudStack, que soluciona este problema.

Se podría engañar al servidor de administración de CloudStack y a la máquina virtual de almacenamiento secundario para que realicen solicitudes a recursos restringidos o aleatorios mediante las siguientes redirecciones HTTP 301 presentadas por servidores externos al descargar plantillas o ISO. Se recomienda a los usuarios actualizar a la versión 4.18.1.1 o 4.19.0.1, que soluciona este problema.

Una vulnerabilidad de Cross Site Scripting (XSS) en Advanced REST Client v.17.0.9 permite a un atacante remoto ejecutar código arbitrario y obtener información confidencial a través de un script manipulado para el parámetro de edición de detalles de la función New Project.

Existe una vulnerabilidad de inyección de HTML en la versión NXG 19.05 del servidor web MT Safeline X-Ray X3310 que permite a un atacante remoto representar HTML malicioso y obtener información confidencial en el navegador de la víctima.

Vulnerabilidad de inyección CSV en Addactis IBNRS v.3.10.3.107 permite a un atacante remoto ejecutar código arbitrario a través de un archivo .ibnrs manipulado en los parámetros Descripción del proyecto, Identificadores, Nombre del triángulo personalizado (dentro de los Triángulos de entrada) y Nombre de la curva de rendimiento.