Vulnerabilidad en kernel de Linux (CVE-2022-48802)

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: fs/proc: task_mmu.c: no lea el recuento de mapas para la entrada de migración. El syzbot informó el siguiente ERROR: ERROR del kernel en include/linux/page-flags.h:785. código de operación no válido: 0000 [#1] PREEMPT SMP KASAN CPU: 1 PID: 4392 Comm: syz-executor560 Not tainted 5.16.0-rc6-syzkaller #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01 /2011 RIP: 0010:PageDoubleMap include/linux/page-flags.h:785 [en línea] RIP: 0010:__page_mapcount+0x2d2/0x350 mm/util.c:744 Seguimiento de llamadas: page_mapcount include/linux/mm.h:837 [en línea] smaps_account+0x470/0xb10 fs/proc/task_mmu.c:466 smaps_pte_entry fs/proc/task_mmu.c:538 [en línea] smaps_pte_range+0x611/0x1250 fs/proc/task_mmu.c:601 walk_pmd_range mm/pagewalk.c :128 [en línea] walk_pud_range mm/pagewalk.c:205 [en línea] walk_p4d_range mm/pagewalk.c:240 [en línea] walk_pgd_range mm/pagewalk.c:277 [en línea] __walk_page_range+0xe23/0x1ea0 mm/pagewalk.c:379 walk_page_vma+0x277/0x350 mm/pagewalk.c:530 smap_gather_stats.part.0+0x148/0x260 fs/proc/task_mmu.c:768 smap_gather_stats fs/proc/task_mmu.c:741 [en línea] show_smap+0xc6/0x440 fs/ proc/task_mmu.c:822 seq_read_iter+0xbb0/0x1240 fs/seq_file.c:272 seq_read+0x3e0/0x5b0 fs/seq_file.c:162 vfs_read+0x1b5/0x600 fs/read_write.c:479 ksys_read+0x12d/0x250 f s/ read_write.c:619 do_syscall_x64 arch/x86/entry/common.c:50 [en línea] do_syscall_64+0x35/0xb0 arch/x86/entry/common.c:80 Entry_SYSCALL_64_after_hwframe+0x44/0xae El reproductor estaba intentando leer /proc/ $PID/smaps al llamar a MADV_FREE mientras tanto. MADV_FREE puede dividir THP si se solicita para THP parcial. Puede desencadenar la siguiente ejecución: CPU A CPU B ----- ----- smaps walk: MADV_FREE: page_mapcount() PageCompound() split_huge_page() página = composite_head(page) PageDoubleMap(page) Al llamar a PageDoubleMap() Esta página ya no es una página final de THP, por lo que se activa el ERROR. Esto podría solucionarse mediante un recuento elevado de la página antes de llamar a mapcount, pero eso evitaría que cuente las entradas de migración, y parece excesivo porque la ejecución podría ocurrir cuando PMD se divide, por lo que todas las entradas PTE de las páginas finales son en realidad entradas de migración. y smaps_account() trata las entradas de migración como mapcount == 1 como señaló Kirill. Agregue un nuevo parámetro para smaps_account() para indicar que esta entrada es una entrada de migración y luego omita llamar a page_mapcount(). No deje de obtener mapcount para entradas privadas de dispositivos, ya que rastrean referencias con mapcount. Pagemap también tiene un problema similar, aunque no se informó. Lo arreglé también. [shy828301@gmail.com: v4] Enlace: https://lkml.kernel.org/r/20220203182641.824731-1-shy828301@gmail.com [nathan@kernel.org: evitar advertencia de variable no utilizada en pagemap_pmd_range()] Enlace: https://lkml.kernel.org/r/20220207171049.1102239-1-nathan@kernel.org