Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> xen/privcmd: restringir el uso en domU no privilegiado<br /> <br /> El controlador Xen privcmd permite emitir hiperllamadas arbitrarias desde procesos de espacio de usuario. Esto normalmente no es un problema, ya que el acceso suele estar limitado a root y el hipervisor denegará cualquier hiperllamada que afecte a otros dominios.<br /> <br /> En caso de que el invitado se inicie usando arranque seguro, sin embargo, el controlador privcmd estaría permitiendo que un proceso de usuario root modifique, por ejemplo, el contenido de la memoria del kernel, rompiendo así la característica de arranque seguro.<br /> <br /> El único caso conocido en el que un domU no privilegiado realmente necesita usar el controlador privcmd es el caso en el que actúa como modelo de dispositivo para otro invitado. En este caso, todas las hiperllamadas emitidas a través del controlador privcmd se dirigirán a ese otro invitado.<br /> <br /> Afortunadamente, el controlador privcmd ya puede ser bloqueado para permitir solo hiperllamadas dirigidas a un dominio específico, pero este modo solo puede activarse desde el espacio de usuario hoy.<br /> <br /> El dominio objetivo puede obtenerse de Xenstore, por lo que cuando no se ejecute en dom0, restrinja el controlador privcmd a ese dominio objetivo desde el principio, resolviendo el problema potencial de romper el arranque seguro.<br /> <br /> Esto es XSA-482<br /> <br /> ---<br /> V2:<br /> - aplazar la lectura de Xenstore si Xenstore aún no está listo (Jan Beulich)<br /> - esperar en open() si el dominio objetivo aún no se conoce<br /> - emitir mensaje en caso de no encontrar dominio objetivo (Jan Beulich)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> Bluetooth: L2CAP: Corrección para aceptar múltiples L2CAP_ECRED_CONN_REQ<br /> <br /> Actualmente, el código intenta aceptar solicitudes independientemente del identificador de comando, lo que puede hacer que múltiples solicitudes se marquen como pendientes (FLAG_DEFER_SETUP), lo que puede causar que se asignen más de L2CAP_ECRED_MAX_CID(5) en l2cap_ecred_rsp_defer, causando un desbordamiento.<br /> <br /> La especificación es bastante clara en que el mismo identificador no debe usarse en solicitudes subsiguientes:<br /> <br /> &amp;#39;Dentro de cada canal de señalización se utilizará un identificador diferente para cada solicitud o indicación sucesiva.&amp;#39;<br /> https://www.bluetooth.com/wp-content/uploads/Files/Specification/HTML/Core-62/out/en/host/logical-link-control-and-adaptation-protocol-specification.html#UUID-32a25a06-4aa4-c6c7-77c5-dcfe3682355d<br /> <br /> Así que esto intenta verificar si hay canales pendientes con el mismo identificador y los rechaza si se encuentra alguno.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> af_unix: Abandonar la recolección de basura (GC) si MSG_PEEK intervino.<br /> <br /> Igor Ushakov informó que la recolección de basura (GC) purgó la cola de recepción de un socket activo debido a una condición de carrera con MSG_PEEK con una buena reproducción.<br /> <br /> Este es exactamente el mismo problema previamente solucionado por el commit cbcf01128d0a (&amp;#39;af_unix: corregir recolección de basura vs MSG_PEEK&amp;#39;).<br /> <br /> Después de que la recolección de basura (GC) fue reemplazada por el algoritmo actual, el commit citado eliminó la &amp;#39;danza de bloqueo&amp;#39; en unix_peek_fds() y reintrodujo el mismo problema.<br /> <br /> El problema es que MSG_PEEK incrementa un contador de referencias de archivo sin interactuar con la recolección de basura (GC).<br /> <br /> Considere un SCC que contiene sk-A y sk-B, donde sk-A está close()d (cerrado) pero puede ser recv()ed (recibido) a través de sk-B.<br /> <br /> Lo malo sucede si sk-A es recv()ed (recibido) con MSG_PEEK desde sk-B y sk-B está close()d (cerrado) mientras la recolección de basura (GC) está verificando unix_vertex_dead() para sk-A y sk-B.<br /> <br /> Hilo de GC Hilo de usuario<br /> --------- -----------<br /> unix_vertex_dead(sk-A)<br /> -&amp;gt; true &amp;lt;------.<br /> \<br /> `------ recv(sk-B, MSG_PEEK)<br /> ¡¡invalidar!! -&amp;gt; contador de referencias de archivo de sk-A : 1 -&amp;gt; 2<br /> <br /> close(sk-B)<br /> -&amp;gt; contador de referencias de archivo de sk-B : 2 -&amp;gt; 1<br /> unix_vertex_dead(sk-B)<br /> -&amp;gt; true<br /> <br /> Inicialmente, el contador de referencias de archivo de sk-A es 1 por el descriptor de archivo en tránsito en la cola de recepción de sk-B. La recolección de basura (GC) piensa que sk-A está muerto porque el contador de referencias de archivo es el mismo que el número de sus descriptores de archivo en tránsito.<br /> <br /> Sin embargo, el contador de referencias de archivo de sk-A es incrementado silenciosamente por MSG_PEEK, lo que invalida la evaluación anterior.<br /> <br /> En este momento, el contador de referencias de archivo de sk-B es 2; uno por el descriptor de archivo abierto, y uno por el descriptor de archivo en tránsito en sk-A. El close() (cierre) subsiguiente libera un contador de referencias por el primero.<br /> <br /> Finalmente, la recolección de basura (GC) concluye incorrectamente que tanto sk-A como sk-B están muertos.<br /> <br /> Una opción es restaurar la &amp;#39;danza de bloqueo&amp;#39; en unix_peek_fds(), pero podemos resolver esto de manera más elegante gracias al nuevo algoritmo.<br /> <br /> El punto es que el problema no ocurre sin el close() (cierre) subsiguiente y en realidad no necesitamos sincronizar MSG_PEEK con la detección de SCC muertos.<br /> <br /> Cuando ocurre el problema, close() (el cierre) y la recolección de basura (GC) tocan el mismo contador de referencias de archivo. Si la recolección de basura (GC) ve que el contador de referencias es decrementado por close() (el cierre), puede simplemente abandonar la recolección de basura del SCC.<br /> <br /> Por lo tanto, solo necesitamos señalar la condición de carrera durante MSG_PEEK con una barrera de memoria adecuada para hacerla visible a la recolección de basura (GC).<br /> <br /> Usemos seqcount_t para notificar a la recolección de basura (GC) cuando ocurre MSG_PEEK y permitirle aplazar el SCC a la siguiente ejecución.<br /> <br /> De esta manera, no se necesita bloqueo en el lado de MSG_PEEK, y podemos evitar imponer una penalización a cada MSG_PEEK innecesariamente.<br /> <br /> Tenga en cuenta que podemos reintentar dentro de unix_scc_dead() si se detecta MSG_PEEK, pero no lo hacemos para evitar la &amp;#39;salpicadura&amp;#39; de tareas colgadas por llamadas abusivas a MSG_PEEK.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> tracing/dma: Limitar los arrays del tracepoint dma_map_sg para prevenir el desbordamiento de búfer<br /> <br /> El tracepoint dma_map_sg puede desencadenar un desbordamiento de búfer de perf al trazar listas grandes de scatter-gather. Con dispositivos como virtio-gpu creando búferes DRM grandes, nents puede exceder las 1000 entradas, resultando en:<br /> <br /> phys_addrs: 1000 * 8 bytes = 8.000 bytes<br /> dma_addrs: 1000 * 8 bytes = 8.000 bytes<br /> lengths: 1000 * 4 bytes = 4.000 bytes<br /> Total: ~20.000 bytes<br /> <br /> Esto excede PERF_MAX_TRACE_SIZE (8192 bytes), causando:<br /> <br /> ADVERTENCIA: CPU: 0 PID: 5497 en kernel/trace/trace_event_perf.c:405<br /> búfer de perf no lo suficientemente grande, se querían 24620, se tienen 8192<br /> <br /> Limitar los tres arrays dinámicos a 128 entradas usando min() en el cálculo del tamaño del array. Esto asegura que los arrays sean solo tan grandes como sea necesario (hasta el límite), evitando la asignación de memoria innecesaria para operaciones pequeñas mientras se previene el desbordamiento para las grandes.<br /> <br /> El tracepoint ahora registra los conteos completos de nents/ents y un indicador de truncamiento para que los usuarios puedan ver cuándo los datos han sido limitados.<br /> <br /> Cambios en v2:<br /> - Usar min(nents, DMA_TRACE_MAX_ENTRIES) para el dimensionamiento dinámico del array en lugar de la asignación fija de DMA_TRACE_MAX_ENTRIES (comentarios de Steven Rostedt)<br /> - Esto asigna solo lo necesario hasta el límite, evitando el desperdicio para operaciones pequeñas<br /> <br /> Revisado por: Sean Anderson

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: xt_CT: descartar paquetes pendientes encolados al eliminar la plantilla<br /> <br /> Las plantillas se refieren a objetos que pueden desaparecer mientras los paquetes están en nfqueue, se refieren a:<br /> <br /> - helper, esto puede ser un problema al eliminar el módulo.<br /> - política de tiempo de espera, nfnetlink_cttimeout podría eliminarla.<br /> <br /> El uso de plantillas con filtro de caché de zona y eventos es seguro, ya que esto solo copia valores.<br /> <br /> Vaciar estos paquetes encolados en caso de que la regla de plantilla sea eliminada.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> netfilter: nf_tables: liberar la tabla de flujos después del período de gracia de RCU en caso de error<br /> <br /> Llamar a synchronize_rcu() después de desregistrar los hooks de la ruta de error, ya que un hook que ya se refiere a esta tabla de flujos puede estar ya registrado, exponiendo esta tabla de flujos a la ruta de paquetes y al plano de control de nfnetlink_hook.<br /> <br /> Esta ruta de error es rara, solo debería ocurrir al alcanzar el número máximo de hooks o al fallar la configuración para la descarga de hardware; simplemente llamar a synchronize_rcu().<br /> <br /> Existe una comprobación para hooks de dispositivo ya utilizados por una tabla de flujos diferente que podría resultar en EEXIST en esta etapa tardía. El analizador de hooks puede ser actualizado para realizar esta comprobación antes, para que esta ruta de error realmente se ejercite raramente.<br /> <br /> Descubierto por KASAN, reportado como uso después de liberación desde la ruta de nfnetlink_hook al volcar los hooks.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> pinctrl: cirrus: cs42l43: Corrección de doble put en cs42l43_pin_probe()<br /> <br /> devm_add_action_or_reset() ya invoca la acción en caso de fallo, por lo que el put explícito causa un doble put.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> Squashfs: comprobar que el desplazamiento del bloque de metadatos está dentro del rango<br /> <br /> Syzkaller informa de un &amp;#39;fallo de protección general en squashfs_copy_data&amp;#39;<br /> <br /> Esto es causado en última instancia por una tabla de búsqueda de índices corrupta, que produce un desplazamiento de bloque de metadatos negativo.<br /> <br /> Esto se pasa posteriormente a squashfs_copy_data (a través de squashfs_read_metadata) donde el desplazamiento negativo causa un acceso fuera de límites.<br /> <br /> La solución es comprobar que el desplazamiento está dentro del rango en squashfs_read_metadata. Esto atrapará este y otros casos.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ice: Corrección de fuga de memoria en ice_set_ringparam()<br /> <br /> En ice_set_ringparam, tx_rings y xdp_rings se asignan antes de rx_rings. Si la asignación de rx_rings falla, el código salta a la etiqueta done provocando una fuga tanto de tx_rings como de xdp_rings. Además, si la configuración de un anillo Rx individual falla durante el bucle, el código salta a la etiqueta free_tx, que libera tx_rings pero provoca una fuga de xdp_rings.<br /> <br /> Esto se corrige introduciendo una etiqueta free_xdp y actualizando las rutas de error para asegurar que tanto xdp_rings como tx_rings se liberen correctamente si la asignación o configuración de rx_rings falla.<br /> <br /> Probado solo en compilación. Problema encontrado utilizando una herramienta prototipo de análisis estático y revisión de código.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: bridge: corrige la desreferencia NULL de nd_tbl cuando IPv6 está deshabilitado<br /> <br /> Al arrancar con el parámetro &amp;#39;ipv6.disable=1&amp;#39;, el nd_tbl nunca se inicializa porque inet6_init() sale antes de que se llame a ndisc_init(), que es quien lo inicializa. Luego, si neigh_suppress está habilitado y un paquete ICMPv6 Neighbor Discovery llega al puente, br_do_suppress_nd() desreferenciará ipv6_stub-&amp;gt;nd_tbl, que es NULL, pasándolo a neigh_lookup(). Esto causa una desreferencia de puntero NULL del kernel.<br /> <br /> BUG: desreferencia de puntero NULL del kernel, dirección: 0000000000000268<br /> Oops: 0000 [#1] PREEMPT SMP NOPTI<br /> [...]<br /> RIP: 0010:neigh_lookup+0x16/0xe0<br /> [...]<br /> Rastro de Llamada:<br /> <br /> ? neigh_lookup+0x16/0xe0<br /> br_do_suppress_nd+0x160/0x290 [bridge]<br /> br_handle_frame_finish+0x500/0x620 [bridge]<br /> br_handle_frame+0x353/0x440 [bridge]<br /> __netif_receive_skb_core.constprop.0+0x298/0x1110<br /> __netif_receive_skb_one_core+0x3d/0xa0<br /> process_backlog+0xa0/0x140<br /> __napi_poll+0x2c/0x170<br /> net_rx_action+0x2c4/0x3a0<br /> handle_softirqs+0xd0/0x270<br /> do_softirq+0x3f/0x60<br /> <br /> Soluciona esto reemplazando la llamada a IS_ENABLED(IPV6) con ipv6_mod_enabled() en los llamadores. Esto es, en esencia, deshabilitar la supresión de NS/NA cuando IPv6 está deshabilitado.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> HID: Añadir protecciones HID_CLAIMED_INPUT en las retrollamadas de raw_event que las omiten<br /> <br /> En el commit 2ff5baa9b527 (&amp;#39;HID: appleir: Corregir posible desreferencia NULL en el manejo de eventos raw&amp;#39;), abordamos el hecho de que las retrollamadas de eventos raw pueden ocurrir incluso para un dispositivo HID que no ha sido &amp;#39;reclamado&amp;#39;, causando un fallo si se intentara conectar un dispositivo defectuoso al sistema.<br /> <br /> Corregir los controladores HID restantes en el árbol que olvidaron añadir esta misma comprobación para resolver el mismo problema.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> bpf, arm64: Forzar alineación de 8 bytes para el búfer JIT para prevenir el desgarro atómico<br /> <br /> struct bpf_plt contiene un campo objetivo u64. Actualmente, el asignador JIT de BPF solicita una alineación de 4 bytes (sizeof(u32)) para el búfer JIT.<br /> <br /> Debido a que la dirección base del búfer JIT puede estar alineada a 4 bytes (p. ej., terminando en 0x4 o 0xc), la lógica de relleno relativo en build_plt() no logra asegurar que target caiga en un límite de 8 bytes.<br /> <br /> Esto lleva a dos problemas:<br /> 1. UBSAN informa advertencias de acceso desalineado al desreferenciar la estructura.<br /> 2. Más críticamente, target se actualiza concurrentemente a través de WRITE_ONCE() en bpf_arch_text_poke() mientras el código JIT&amp;#39;d ejecuta ldr. En arm64, las cargas/almacenamientos de 64 bits solo se garantiza que sean atómicos de copia única si están alineados a 64 bits. Un target desalineado arriesga una lectura desgarrada, haciendo que el JIT salte a una dirección corrupta.<br /> <br /> Solucione esto aumentando el requisito de alineación de asignación a 8 bytes (sizeof(u64)) en bpf_jit_binary_pack_alloc(). Esto ancla la base del búfer JIT a un límite de 8 bytes, permitiendo que las matemáticas de relleno relativo en build_plt() alineen correctamente el campo target.