Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en kernel de Linux (CVE-2025-21953)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: mana: cleanup struct mana después de debugfs_remove(). Cuando se activa la hibernación en una máquina virtual MANA, como parte de hibernate_snapshot(), se invocan mana_gd_suspend() y mana_gd_resume(). Si durante este mana_gd_resume() se produce un fallo en la creación de HWC, el puntero mana_port_debugfs no se reinicializa y termina apuntando a una dentry anterior y limpiada. Más adelante en la ruta de hibernación, como parte de power_down(), se activa mana_gd_shutdown(). Esta llamada, sin tener conocimiento de los fallos en la reanudación, intenta limpiar el valor mana_port_debugfs ya limpiado y se encuentra con el siguiente error: [ 191.359296] mana 7870:00:00.0: Se llamó al apagado [ 191.359918] ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000098 [ 191.360584] #PF: acceso de escritura del supervisor en modo kernel [ 191.361125] #PF: error_code(0x0002) - página no presente [ 191.361727] PGD 1080ea067 P4D 0 [ 191.362172] Oops: Oops: 0002 [#1] SMP NOPTI [ 191.362606] CPU: 11 UID: 0 PID: 1674 Comm: bash No contaminado 6.14.0-rc5+ #2 [ 191.363292] Nombre del hardware: Microsoft Corporation Virtual Machine/Virtual Machine, BIOS Hyper-V UEFI Release v4.1 21/11/2024 [ 191.364124] RIP: 0010:down_write+0x19/0x50 [ 191.364537] Code: 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 0f 1f 44 00 00 55 48 89 e5 53 48 89 fb e8 de cd ff ff 31 c0 ba 01 00 00 00 48 0f b1 13 75 16 65 48 8b 05 88 24 4c 6a 48 89 43 08 48 8b 5d [ 191.365867] RSP: 0000:ff45fbe0c1c037b8 EFLAGS: 00010246 [ 191.366350] RAX: 0000000000000000 RBX: 0000000000000098 RCX: ffffff8100000000 [ 191.366951] RDX: 0000000000000001 RSI: 0000000000000064 RDI: 0000000000000098 [ 191.367600] RBP: ff45fbe0c1c037c0 R08: 0000000000000000 R09: 0000000000000001 [ 191.368225] R10: ff45fbe0d2b01000 R11: 0000000000000008 R12: 0000000000000000 [ 191.368874] R13: 000000000000000b R14: ff43dc27509d67c0 R15: 0000000000000020 [ 191.369549] FS: 00007dbc5001e740(0000) GS:ff43dc663f380000(0000) knlGS:0000000000000000 [ 191.370213] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 191.370830] CR2: 0000000000000098 CR3: 0000000168e8e002 CR4: 0000000000b73ef0 [ 191.371557] DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 191.372192] DR3: 0000000000000000 DR6: 00000000fffe07f0 DR7: 0000000000000400 [ 191.372906] Call Trace: [ 191.373262] [ 191.373621] ? show_regs+0x64/0x70 [ 191.374040] ? __die+0x24/0x70 [ 191.374468] ? page_fault_oops+0x290/0x5b0 [ 191.374875] ? do_user_addr_fault+0x448/0x800 [ 191.375357] ? exc_page_fault+0x7a/0x160 [ 191.375971] ? asm_exc_page_fault+0x27/0x30 [ 191.376416] ? down_write+0x19/0x50 [ 191.376832] ? down_write+0x12/0x50 [ 191.377232] simple_recursive_removal+0x4a/0x2a0 [ 191.377679] ? __pfx_remove_one+0x10/0x10 [ 191.378088] debugfs_remove+0x44/0x70 [ 191.378530] mana_detach+0x17c/0x4f0 [ 191.378950] ? __flush_work+0x1e2/0x3b0 [ 191.379362] ? __cond_resched+0x1a/0x50 [ 191.379787] mana_remove+0xf2/0x1a0 [ 191.380193] mana_gd_shutdown+0x3b/0x70 [ 191.380642] pci_device_shutdown+0x3a/0x80 [ 191.381063] device_shutdown+0x13e/0x230 [ 191.381480] kernel_power_off+0x35/0x80 [ 191.381890] hibernate+0x3c6/0x470 [ 191.382312] state_store+0xcb/0xd0 [ 191.382734] kobj_attr_store+0x12/0x30 [ 191.383211] sysfs_kf_write+0x3e/0x50 [ 191.383640] kernfs_fop_write_iter+0x140/0x1d0 [ 191.384106] vfs_write+0x271/0x440 [ 191.384521] ksys_write+0x72/0xf0 [ 191.384924] __x64_sys_write+0x19/0x20 [ 191.385313] x64_sys_call+0x2b0/0x20b0 [ 191.385736] do_syscall_64+0x79/0x150 [ 191.386146] ? __mod_memcg_lruvec_state+0xe7/0x240 [ 191.386676] ? __lruvec_stat_mod_folio+0x79/0xb0 [ 191.387124] ? __pfx_lru_add+0x10/0x10 [ 191.387515] ? queued_spin_unlock+0x9/0x10 [ 191.387937] ? do_anonymous_page+0x33c/0xa00 [ 191.388374] ? __handle_mm_fault+0xcf3/0x1210 [ 191.388805] ? __count_memcg_events+0xbe/0x180 [ 191.389235] ? handle_mm_fault+0xae/0x300 [ 19 ---truncado---
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21944)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige un error en la trampa de smb2_lock. Si el número de bloqueos es mayor que 1, las banderas podrían tener un valor anterior. Debe comprobarse con las banderas de smb_lock, no con las banderas. Esto provocará un error en la trampa de locks_free_lock en la rutina de gestión de errores.
Gravedad: Pendiente de análisis
Última modificación:
01/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21946)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige un error fuera de los límites en parse_sec_desc(). Si osidoffset, gsidoffset y dacloffset pueden ser mayores que el tamaño de la estructura smb_ntsd, si es menor, podría causar un error fuera de los límites de slab. Al validar sid, es necesario comprobar si incluye el tamaño del array subauth.
Gravedad: Pendiente de análisis
Última modificación:
01/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21947)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige la confusión de tipos mediante una condición de ejecución cuando se usa ipc_msg_send_request. req->handle se asigna usando ksmbd_acquire_id(&ipc_ida), según ida_alloc. req->handle de ksmbd_ipc_login_request y FSCTL_PIPE_TRANSCEIVE ioctl puede ser el mismo y podría generar una confusión de tipos entre mensajes, lo que resulta en el acceso a partes inesperadas de la memoria después de una entrega incorrecta. ksmbd verifica el tipo de respuesta de ipc pero falta agregar continuar para verificar la siguiente respuesta de ipc.
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21943)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gpio: gregator: protege los controladores attr del controlador contra la descarga del módulo Tanto new_device_store como delete_device_store tocan los recursos globales del módulo (por ejemplo, gpio_aggregator_lock). Para evitar condiciones de ejecución con la descarga del módulo, se debe mantener una referencia. Agregue try_module_get() en estos controladores. Para new_device_store, esto elimina lo que parece ser el escenario más peligroso: si se asigna un id desde gpio_aggregator_idr pero platform_device_register aún no se ha llamado o completado, una descarga de módulo concurrente podría fallar al anular el registro/eliminar el dispositivo, dejando atrás un reenvío de dispositivo de plataforma/GPIO colgante. Esto puede resultar en varios problemas. El siguiente reproductor simple demuestra estos problemas: #!/bin/bash while :; do # nota: no importa si 'gpiochip0 0' existe o no. echo 'gpiochip0 0' > /sys/bus/platform/drivers/gpio-aggregator/new_device done & while :; do modprobe gpio-aggregator modprobe -r gpio-aggregator done & wait A partir de la siguiente advertencia, aparecerán varios tipos de advertencias y el sistema puede volverse inestable: ------------[ cortar aquí ]------------ list_del corruption, ffff888103e2e980->next is LIST_POISON1 (dead000000000100) WARNING: CPU: 1 PID: 1327 at lib/list_debug.c:56 __list_del_entry_valid_or_report+0xa3/0x120 [...] RIP: 0010:__list_del_entry_valid_or_report+0xa3/0x120 [...] Call Trace: ? __list_del_entry_valid_or_report+0xa3/0x120 ? __warn.cold+0x93/0xf2 ? __list_del_entry_valid_or_report+0xa3/0x120 ? report_bug+0xe6/0x170 ? __irq_work_queue_local+0x39/0xe0 ? handle_bug+0x58/0x90 ? exc_invalid_op+0x13/0x60 ? asm_exc_invalid_op+0x16/0x20 ? __list_del_entry_valid_or_report+0xa3/0x120 gpiod_remove_lookup_table+0x22/0x60 new_device_store+0x315/0x350 [gpio_aggregator] kernfs_fop_write_iter+0x137/0x1f0 vfs_write+0x262/0x430 ksys_write+0x60/0xd0 do_syscall_64+0x6c/0x180 entry_SYSCALL_64_after_hwframe+0x76/0x7e [...] ---[ fin de seguimiento 000000000000000 ]---
Gravedad CVSS v3.1: MEDIA
Última modificación:
10/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21945)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige el use-after-free en smb2_lock. Si smb_lock->zero_len tiene valor, ->llist de smb_lock no se elimina y Flock es antiguo. Esto provocará el use-after-free en la rutina de gestión de errores.
Gravedad CVSS v3.1: ALTA
Última modificación:
16/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21948)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: appleir: Se corrige una posible desreferencia de puntero NULL en el identificador de evento sin procesar Syzkaller informa un problema de desreferencia de puntero NULL en input_event(). ERROR: KASAN: null-ptr-deref en instrument_atomic_read include/linux/instrumented.h:68 [en línea] ERROR: KASAN: null-ptr-deref en _test_bit include/asm-generic/bitops/instrumented-non-atomic.h:141 [en línea] ERROR: KASAN: null-ptr-deref en is_event_supported drivers/input/input.c:67 [en línea] ERROR: KASAN: null-ptr-deref en input_event+0x42/0xa0 drivers/input/input.c:395 Lectura de tamaño 8 en la dirección 0000000000000028 por la tarea syz-executor199/2949 CPU: 0 UID: 0 PID: 2949 Comm: syz-executor199 No contaminado 6.13.0-rc4-syzkaller-00076-gf097a36ef88d #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 13/09/2024 Rastreo de llamadas: __dump_stack lib/dump_stack.c:94 [en línea] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:120 kasan_report+0xd9/0x110 mm/kasan/report.c:602 check_region_inline mm/kasan/generic.c:183 [en línea] kasan_check_range+0xef/0x1a0 mm/kasan/generic.c:189 instrument_atomic_read include/linux/instrumented.h:68 [en línea] _test_bit include/asm-generic/bitops/instrumented-non-atomic.h:141 [en línea] es_evento_compatible drivers/input/input.c:67 [en línea] evento_entrada+0x42/0xa0 drivers/input/input.c:395 clave_informe_entrada include/linux/input.h:439 [en línea] tecla_abajo drivers/hid/hid-appleir.c:159 [en línea] evento_sin_usar_appleir+0x3e5/0x5e0 drivers/hid/hid-appleir.c:232 __hid_input_report.constprop.0+0x312/0x440 drivers/hid/hid-core.c:2111 hid_ctrl+0x49f/0x550 drivers/hid/usbhid/hid-core.c:484 __usb_hcd_giveback_urb+0x389/0x6e0 controladores/usb/core/hcd.c:1650 usb_hcd_giveback_urb+0x396/0x450 controladores/usb/core/hcd.c:1734 temporizador ficticio+0x17f7/0x3960 controladores/usb/gadget/udc/dummy_hcd.c:1993 __run_hrtimer kernel/time/hrtimer.c:1739 [en línea] __hrtimer_run_queues+0x20a/0xae0 kernel/time/hrtimer.c:1803 hrtimer_run_softirq+0x17d/0x350 kernel/time/hrtimer.c:1820 handle_softirqs+0x206/0x8d0 kernel/softirq.c:561 __do_softirq kernel/softirq.c:595 [en línea] invocar_softirq kernel/softirq.c:435 [en línea] __irq_exit_rcu+0xfa/0x160 kernel/softirq.c:662 irq_exit_rcu+0x9/0x30 kernel/softirq.c:678 instr_sysvec_apic_timer_interrupt arch/x86/kernel/apic/apic.c:1049 [en línea] sysvec_apic_timer_interrupt+0x90/0xb0 arch/x86/kernel/apic/apic.c:1049 asm_sysvec_apic_timer_interrupt+0x1a/0x20 arch/x86/include/asm/idtentry.h:702 __mod_timer+0x8f6/0xdc0 kernel/time/timer.c:1185 add_timer+0x62/0x90 kernel/time/timer.c:1295 schedule_timeout+0x11f/0x280 kernel/time/sleep_timeout.c:98 usbhid_wait_io+0x1c7/0x380 drivers/hid/usbhid/hid-core.c:645 usbhid_init_reports+0x19f/0x390 drivers/hid/usbhid/hid-core.c:784 hiddev_ioctl+0x1133/0x15b0 drivers/hid/usbhid/hiddev.c:794 vfs_ioctl fs/ioctl.c:51 [en línea] Esto sucede debido a los elementos de informe mal formados enviados por el dispositivo emulado, lo que da como resultado que se agregue a la lista de informes un informe que no tiene campos. Debido a que appleir_input_configured() nunca se llama, hidinput_connect() falla, lo que provoca que no se configure el indicador HID_CLAIMED_INPUT. Sin embargo, esto no provoca el fallo de appleir_probe() y permite que la devolución de llamada del evento se llame sin el dispositivo de entrada asociado. Por lo tanto, se debe añadir una comprobación para el indicador HID_CLAIMED_INPUT y abandonar el gancho de evento antes de tiempo si el controlador no solicitó ningún input_dev por alguna razón. Además, otros controladores HID que acceden a input_dev en sus devoluciones de llamada de evento también tienen comprobaciones similares. Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con Syzkaller.
Gravedad CVSS v3.1: MEDIA
Última modificación:
11/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21942)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: zoned: fix extent range end unlock in cow_file_range(). Ejecutar generic/751 en la rama for-next suele provocar un bloqueo como el que se muestra a continuación. Ambas se acumulan bloqueando una extensión. Esto sugiere que alguien olvidó desbloquear una extensión. INFORMACIÓN: La tarea kworker/u128:1:12 se bloqueó durante más de 323 segundos. No contaminada. 6.13.0-BTRFS-ZNS+ #503 "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" desactiva este mensaje. tarea:kworker/u128:1 estado:D pila:0 pid:12 tgid:12 ppid:2 indicadores:0x00004000 Cola de trabajo: btrfs-fixup btrfs_work_helper [btrfs] Rastreo de llamadas: __schedule+0x534/0xdd0 schedule+0x39/0x140 __lock_extent+0x31b/0x380 [btrfs] ? __pfx_autoremove_wake_function+0x10/0x10 btrfs_writepage_fixup_worker+0xf1/0x3a0 [btrfs] btrfs_work_helper+0xff/0x480 [btrfs] ? lock_release+0x178/0x2c0 process_one_work+0x1ee/0x570 ? srso_return_thunk+0x5/0x5f worker_thread+0x1d1/0x3b0 ? __pfx_worker_thread+0x10/0x10 kthread+0x10b/0x230 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x30/0x50 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 INFO: task kworker/u134:0:184 blocked for more than 323 seconds. Not tainted 6.13.0-BTRFS-ZNS+ #503 "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" disables this message. task:kworker/u134:0 state:D stack:0 pid:184 tgid:184 ppid:2 flags:0x00004000 Workqueue: writeback wb_workfn (flush-btrfs-4) Call Trace: __schedule+0x534/0xdd0 schedule+0x39/0x140 __lock_extent+0x31b/0x380 [btrfs] ? __pfx_autoremove_wake_function+0x10/0x10 find_lock_delalloc_range+0xdb/0x260 [btrfs] writepage_delalloc+0x12f/0x500 [btrfs] ? srso_return_thunk+0x5/0x5f extent_write_cache_pages+0x232/0x840 [btrfs] btrfs_writepages+0x72/0x130 [btrfs] do_writepages+0xe7/0x260 ? srso_return_thunk+0x5/0x5f ? lock_acquire+0xd2/0x300 ? srso_return_thunk+0x5/0x5f ? find_held_lock+0x2b/0x80 ? wbc_attach_and_unlock_inode.part.0+0x102/0x250 ? wbc_attach_and_unlock_inode.part.0+0x102/0x250 __writeback_single_inode+0x5c/0x4b0 writeback_sb_inodes+0x22d/0x550 __writeback_inodes_wb+0x4c/0xe0 wb_writeback+0x2f6/0x3f0 wb_workfn+0x32a/0x510 process_one_work+0x1ee/0x570 ? srso_return_thunk+0x5/0x5f worker_thread+0x1d1/0x3b0 ? __pfx_worker_thread+0x10/0x10 kthread+0x10b/0x230 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x30/0x50 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 Esto sucede porque tenemos otra ruta de éxito para el modo zonificado. Cuando no hay ninguna zona activa disponible, btrfs_reserve_extent() devuelve -EAGAIN. En este caso, tenemos dos reacciones. (1) Si el rango dado nunca se asigna, solo podemos esperar a que alguien complete una zona, por lo que esperamos el bit BTRFS_FS_NEED_ZONE_FINISH y reintentamos después. (2) O bien, si ya se han realizado algunas asignaciones, debemos abandonar y dejar que el llamador envíe E/S para la asignación. Esto se debe a que estas E/S pueden ser necesarias para completar una zona. El commit 06f364284794 ("btrfs: realizar la limpieza de folio correcta cuando cow_file_range() falla") movió el código de desbloqueo del interior del bucle al exterior. Por lo tanto, antes, las extensiones asignadas se desbloqueaban justo después de la asignación y, por lo tanto, antes de regresar de la función. Sin embargo, ya no se desbloquean en el caso (2) mencionado. Esto causó el bloqueo. Para solucionar el problema, modifique "end" al final del rango asignado. De esta manera, podemos salir del bucle y el mismo código de desbloqueo puede gestionar el caso correctamente.
Gravedad: Pendiente de análisis
Última modificación:
06/07/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21932)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: abortar vma_modify() en caso de fallo de memoria insuficiente en la fusión. El resto de vma_modify() depende de que el estado de vmg permanezca intacto tras un intento de fusión. Normalmente, este es el caso; sin embargo, en el caso extremo de que un intento de fusión falle no porque el rango especificado no se pueda fusionar, sino debido a un error de memoria insuficiente al intentar confirmar la fusión, esta suposición se vuelve falsa. Esto da como resultado que vmg->start, end se modifique y, por lo tanto, los intentos posteriores de dividir el VMA se realizarán con valores de inicio/fin no válidos. Afortunadamente, es prácticamente imposible que logremos esto en la realidad, ya que requeriría un fallo de preasignación de nodos del árbol de maple que probablemente nunca ocurriría por ser "demasiado pequeño para fallar", es decir, el kernel simplemente seguiría reintentando la recuperación hasta que tuviera éxito. Sin embargo, este escenario sigue siendo teóricamente posible, y lo que estamos haciendo aquí es incorrecto, por lo que debemos corregirlo. La opción más segura, cuando ocurre este escenario, es simplemente abandonar la operación. Si no podemos asignar memoria para la fusión, tampoco podemos asignar memoria para la división (¡quizás incluso más!). Cualquier escenario donde esto ocurra estaría bajo una presión de memoria muy extrema (probablemente fatal), por lo que es mejor abandonar pronto. Por lo tanto, no hay duda de que es apropiado simplemente abandonar en este escenario. Sin embargo, en general, si es posible, nunca debemos asumir que el estado de VMG es estable después de un intento de fusión, ya que las operaciones de fusión actualizan los campos de VMG. Como resultado, también debemos aclarar esto almacenando inicio y fin en variables locales. El problema fue reportado originalmente por syzkaller y por Brad Spengler (a través de una discusión fuera de la lista), y en ambos casos se manifestó como una activación de la aserción: VM_WARN_ON_VMG(start >= end, vmg); In vma_merge_existing_range(). Parece que al menos un escenario en el que esto ocurre es uno en el que la fusión que se intenta se debe a una función madvise() en múltiples VMA, con este aspecto: inicio fin |<------>| |----------|------| | vma | siguiente | |----------|------| Cuando se invoca madvise_walk_vmas(), primero encontramos vma en lo anterior (determinando que prev sea igual a vma, ya que estamos desplazados hacia vma) y luego entramos en el bucle. Determinamos el final de vma que forma parte del rango que estamos ejecutando con madvise() estableciendo 'tmp' en este valor: /* Aquí vma->vm_start <= start < (end|vma->vm_end) */ tmp = vma->vm_end; Luego invocamos la operación madvise() a través de visit(), permitiendo que prev se actualice para apuntar a vma como parte de la operación: /* Aquí vma->vm_start <= start < tmp <= (end|vma->vm_end). */ error = visit(vma, &prev, start, tmp, arg); Donde el puntero de la función visit() en esta instancia es madvise_vma_behavior(). Como se observa en los informes de syzkaller, en última instancia es madvise_update_vma() el que se invoca, llamando a vma_modify_flags_name() y vma_modify() a su vez. Luego, en vma_modify(), intentamos la fusión: merged = vma_merge_existing_range(vmg); if (merged) return merged; Invocamos esto con vmg->start, end establecido en start, tmp como tal: start tmp |<--->| |----------|------| | vma | next | |----------|------| Nos encontramos en el escenario correcto de fusión, pero en el que no podemos eliminar la parte central (estamos desplazados hacia vma). Aquí tenemos un caso especial donde vmg->start, end se establecen en valores quizás poco intuitivos: pretendíamos reducir la VMA central y expandir la siguiente. Esto significa que vmg->start, end se establecen en... vma->vm_start, start. Ahora, commit_merge() falla y vmg->start, end se mantienen así. Esto significa que volvemos al resto de vma_modify() ---truncated---
Gravedad: Pendiente de análisis
Última modificación:
01/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21935)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rapidio: añadir comprobación de rio_add_net() en rio_scan_alloc_net(). Se debe comprobar el valor de retorno de rio_add_net(). Si falla, se debe ejecutar put_device() para liberar memoria y ceder la referencia inicializada en rio_add_net().
Gravedad: Pendiente de análisis
Última modificación:
01/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21938)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mptcp: corrección de 'programación mientras es atómica' en mptcp_pm_nl_append_new_local_addr Si varias solicitudes de conexión intentan crear un endpoint mptcp implícito en paralelo, más de un llamador puede terminar en mptcp_pm_nl_append_new_local_addr porque ninguno encontró la dirección en local_addr_list durante su llamada a mptcp_pm_nl_get_local_id. En este caso, las llamadas new_local_addr concurrentes pueden eliminar la entrada de dirección creada por el llamador anterior. Estas eliminaciones usan synchronize_rcu, pero esto no está permitido en algunos de los contextos donde se puede llamar a esta función. Durante la recepción de paquetes, el llamador puede estar en una sección crítica de lectura de rcu y tener la preempción deshabilitada. Una pila de ejemplo: ERROR: programación mientras es atómica: swapper/2/0/0x00000302 Seguimiento de llamadas: dump_stack_lvl (lib/dump_stack.c:117 (discriminator 1)) dump_stack (lib/dump_stack.c:124) __schedule_bug (kernel/sched/core.c:5943) schedule_debug.constprop.0 (arch/x86/include/asm/preempt.h:33 kernel/sched/core.c:5970) __schedule (arch/x86/include/asm/jump_label.h:27 include/linux/jump_label.h:207 kernel/sched/features.h:29 kernel/sched/core.c:6621) schedule (arch/x86/include/asm/preempt.h:84 kernel/sched/core.c:6804 kernel/sched/core.c:6818) schedule_timeout (kernel/time/timer.c:2160) wait_for_completion (kernel/sched/completion.c:96 kernel/sched/completion.c:116 kernel/sched/completion.c:127 kernel/sched/completion.c:148) __wait_rcu_gp (include/linux/rcupdate.h:311 kernel/rcu/update.c:444) synchronize_rcu (kernel/rcu/tree.c:3609) mptcp_pm_nl_append_new_local_addr (net/mptcp/pm_netlink.c:966 net/mptcp/pm_netlink.c:1061) mptcp_pm_nl_get_local_id (net/mptcp/pm_netlink.c:1164) mptcp_pm_get_local_id (net/mptcp/pm.c:420) subflow_check_req (net/mptcp/subflow.c:98 net/mptcp/subflow.c:213) subflow_v4_route_req (net/mptcp/subflow.c:305) tcp_conn_request (net/ipv4/tcp_input.c:7216) subflow_v4_conn_request (net/mptcp/subflow.c:651) tcp_rcv_state_process (net/ipv4/tcp_input.c:6709) tcp_v4_do_rcv (net/ipv4/tcp_ipv4.c:1934) tcp_v4_rcv (net/ipv4/tcp_ipv4.c:2334) ip_protocol_deliver_rcu (net/ipv4/ip_input.c:205 (discriminator 1)) ip_local_deliver_finish (include/linux/rcupdate.h:813 net/ipv4/ip_input.c:234) ip_local_deliver (include/linux/netfilter.h:314 include/linux/netfilter.h:308 net/ipv4/ip_input.c:254) ip_sublist_rcv_finish (include/net/dst.h:461 net/ipv4/ip_input.c:580) ip_sublist_rcv (net/ipv4/ip_input.c:640) ip_list_rcv (net/ipv4/ip_input.c:675) __netif_receive_skb_list_core (net/core/dev.c:5583 net/core/dev.c:5631) netif_receive_skb_list_internal (net/core/dev.c:5685 net/core/dev.c:5774) napi_complete_done (include/linux/list.h:37 include/net/gro.h:449 include/net/gro.h:444 net/core/dev.c:6114) igb_poll (drivers/net/ethernet/intel/igb/igb_main.c:8244) igb __napi_poll (net/core/dev.c:6582) net_rx_action (net/core/dev.c:6653 net/core/dev.c:6787) handle_softirqs (kernel/softirq.c:553) __irq_exit_rcu (kernel/softirq.c:588 kernel/softirq.c:427 kernel/softirq.c:636) irq_exit_rcu (kernel/softirq.c:651) common_interrupt (arch/x86/kernel/irq.c:247 (discriminator 14)) Este problema parece ser particularmente frecuente si el usuario anuncia un endpoint que tiene una dirección interna y externa diferente. Si se anuncia la dirección externa y ya existen varias conexiones, llegan varios SYN de subflujo en paralelo, lo que suele desencadenar la ejecución durante la creación de las primeras entradas de local_addr_list que contienen la dirección interna. Se soluciona omitiendo el reemplazo de una dirección local implícita existente si se llama mediante mptcp_pm_nl_get_local_id.
Gravedad: Pendiente de análisis
Última modificación:
01/04/2025

Vulnerabilidad en kernel de Linux (CVE-2025-21939)

Fecha de publicación:
01/04/2025
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe/hmm: No desreferenciar punteros de página de estructura sin bloqueo de notificador Los pnfs que obtenemos de hmm_range_fault() apuntan a páginas en las que no tenemos una referencia, y la garantía de que aún están en las tablas de páginas de la CPU es que el bloqueo del notificador debe mantenerse y el seqno del notificador aún es válido. Entonces, mientras construimos la tabla sg y marcamos las páginas como accedidas/sucias, necesitamos mantener este bloqueo con un seqno validado. Sin embargo, el bloqueo está contaminado por recuperación, lo que hace que sg_alloc_table_from_pages_segment() sea inutilizable, ya que asigna memoria internamente. En su lugar, construya la tabla sg manualmente. Para el caso que no es iommu, esto podría llevar a menos coalescencias, pero si eso es un problema, se puede arreglar más adelante en el código del cursor de recursos. En el caso de iommu, toda la tabla sg puede fusionarse en una única región va de dispositivo contiguo. Esto evita marcar páginas que no son de nuestra propiedad como sucias y accedidas, y también evita desreferenciar páginas de estructura que no son de nuestra propiedad. v2: - Usar assert para comprobar si las funciones de función de enlace de hmm son válidas (Matthew Auld). - Tener en cuenta que las páginas grandes pueden cruzar los límites de rango (Matthew Auld). v3: - No comprobar innecesariamente si hay una tabla sg no liberada (Matthew Auld). - Añadir una función up_read() faltante en una ruta de error (Matthew Auld). (Seleccionado de el commit ea3e66d280ce2576664a862693d1da8fd324c317).
Gravedad: Pendiente de análisis
Última modificación:
01/04/2025