Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: misc_minor_alloc para usar ida para todos los menores dinámicos/misc dinámicos misc_minor_alloc asignaba id usando ida para menores solo en el caso de MISC_DYNAMIC_MINOR pero misc_minor_free siempre liberaba id usando ida_free, lo que causaba una falta de coincidencia y la siguiente advertencia: > > WARNING: CPU: 0 PID: 159 at lib/idr.c:525 ida_free+0x3e0/0x41f > > ida_free called for id=127 which is not allocated. > > <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< ... > > [<60941eb4>] ida_free+0x3e0/0x41f > > [<605ac993>] misc_minor_free+0x3e/0xbc > > [<605acb82>] misc_deregister+0x171/0x1b3 misc_minor_alloc Se cambió misc_minor_alloc para asignar id de ida para todos los menores que caen en el rango de menores dinámicos/misc dinámicos

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: nuvoton: Se corrige una comprobación de errores en npcm_video_ece_init(). Cuando la función of_find_device_by_node() falla, devuelve NULL en lugar de un código de error. Por lo tanto, se debe modificar la lógica de comprobación de errores correspondiente para verificar si el valor de retorno es NULL y establecer el código de error que se devolverá como -ENODEV.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: verificar explícitamente que la vCPU de destino esté en línea en kvm_get_vcpu() Verifique explícitamente que la vCPU de destino esté completamente en línea _antes_ de fijar el índice en kvm_get_vcpu(). Si el índice es "malo", la fijación nospec generará '0', es decir, KVM devolverá vCPU0 en lugar de NULL. En la práctica, es poco probable que el error cause problemas, ya que solo entrará en juego si el espacio de usuario o el invitado tienen errores o se comportan mal, por ejemplo, KVM puede enviar interrupciones a vCPU0 en lugar de dejarlas en el suelo. Sin embargo, devolver vCPU0 cuando no debería existir según online_vcpus es problemático ahora que KVM usa una matriz x para la matriz vCPUs, ya que KVM necesita insertar en la matriz x antes de publicar la vCPU en el espacio de usuario (consulte el commit c5b077549136 ("KVM: Convertir la matriz kvm->vcpus en una matriz x")), es decir, antes de que se garantice que la creación de la vCPU sea exitosa. Como resultado, proporcionar acceso incorrectamente a vCPU0 activará un uso después de liberación si se desreferencia a vCPU0 y kvm_vm_ioctl_create_vcpu() abandona la creación de la vCPU debido a un error y libera vCPU0. El commit afb2acb2e3a3 ("KVM: Reparar las ejecuciones vcpu_array[0]") disimuló ese problema, pero al hacerlo introdujo un enigma de desmontaje irresoluble. Evitar accesos a vCPU0 antes de que esté completamente en línea permitirá revertir el commit afb2acb2e3a3, sin volver a introducir la ejecución UAF vcpu_array[0].

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: soc-pcm: no usar soc_pcm_ret() en la devolución de llamada .prepare commit 1f5664351410 ("ASoC: menor severidad del registro "no backend DAIs enabled for ... Port") ignora el mensaje de error -EINVAL en soc_pcm_ret() común. Se usa desde muchas funciones, ignorar -EINVAL es exagerado. La razón por la que se ignoró -EINVAL fue que realmente solo debería usarse en parámetros no válidos que provengan del espacio de usuario y, en ese caso, no queremos registrar un error ya que no queremos darle al espacio de usuario una forma de realizar un ataque de denegación de servicio en el syslog / espacio de disco. Por lo tanto, no usar soc_pcm_ret() en la devolución de llamada .prepare es una mejor idea.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: clk: qcom: gcc-sm6350: Add missing parent_map for two clocks If a clk_rcg2 has a parent, it should also have parent_map defined, otherwise we'll get a NULL pointer dereference when calling clk_set_rate like the following: [ 3.388105] Call trace: [ 3.390664] qcom_find_src_index+0x3c/0x70 (P) [ 3.395301] qcom_find_src_index+0x1c/0x70 (L) [ 3.399934] _freq_tbl_determine_rate+0x48/0x100 [ 3.404753] clk_rcg2_determine_rate+0x1c/0x28 [ 3.409387] clk_core_determine_round_nolock+0x58/0xe4 [ 3.421414] clk_core_round_rate_nolock+0x48/0xfc [ 3.432974] clk_core_round_rate_nolock+0xd0/0xfc [ 3.444483] clk_core_set_rate_nolock+0x8c/0x300 [ 3.455886] clk_set_rate+0x38/0x14c Agregue la propiedad parent_map para dos relojes donde falta y también desvincule parent_data para mantener juntos los parent_map y parent_data coincidentes.

IBM Concert Software 1.0.5 utiliza una configuración de bloqueo de cuenta inadecuada que podría permitir a un atacante remoto obtener por la fuerza las credenciales de la cuenta.

Existe una vulnerabilidad de deserialización de datos no confiables en NI G Web Development Software que puede provocar la ejecución de código arbitrario. Para explotarla con éxito, un atacante debe conseguir que un usuario abra un archivo de proyecto especialmente manipulado. Esta vulnerabilidad afecta a G Web Development Software 2022 Q3 y versiones anteriores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: no vacíe las STA no cargadas Si el estado de la STA se mueve previamente a AUTORIZADO (como en los escenarios de IBSS) y la inserción falla, la estación se libera. En este caso, el controlador nunca supo de la estación, por lo que intentar vaciarla es inesperado y puede bloquearse. Verifique si la estación se cargó al controlador antes y solucione este problema.

Se ha encontrado una vulnerabilidad clasificada como crítica en ChestnutCMS hasta la versión 1.5.2. Afecta a la función uploadFile del archivo /dev-api/cms/file/upload. La manipulación del argumento file provoca una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Cancelar la ejecución de bpf_timer a través de kworker para PREEMPT_RT Durante el procedimiento de actualización, cuando se sobrescribe un elemento en un htab preasignado, la liberación de old_element está protegida por el bloqueo del depósito. La razón por la que el bloqueo del depósito es necesario es que old_element ya se ha almacenado en htab->extra_elems después de que alloc_htab_elem() regrese. Si se libera old_element después de que se desbloquea el bloqueo del depósito, el elemento almacenado puede reutilizarse mediante un procedimiento de actualización concurrente y la liberación de old_element se ejecutará simultáneamente con la reutilización de old_element. Sin embargo, la invocación de check_and_free_fields() puede adquirir un bloqueo de giro que viola la regla lockdep porque su llamador ya ha mantenido un bloqueo de giro sin procesar (bloqueo del depósito). Se informará la siguiente advertencia cuando ocurra dicha ejecución: UG: scheduling while atomic: test_progs/676/0x00000003 3 locks held by test_progs/676: #0: ffffffff864b0240 (rcu_read_lock_trace){....}-{0:0}, at: bpf_prog_test_run_syscall+0x2c0/0x830 #1: ffff88810e961188 (&htab->lockdep_key){....}-{2:2}, at: htab_map_update_elem+0x306/0x1500 #2: ffff8881f4eac1b8 (&base->softirq_expiry_lock){....}-{2:2}, at: hrtimer_cancel_wait_running+0xe9/0x1b0 Modules linked in: bpf_testmod(O) Preemption disabled at: [] htab_map_update_elem+0x293/0x1500 CPU: 0 UID: 0 PID: 676 Comm: test_progs Tainted: G ... 6.12.0+ #11 Tainted: [W]=WARN, [O]=OOT_MODULE Hardware name: QEMU Standard PC (i440FX + PIIX, 1996)... Call Trace: dump_stack_lvl+0x57/0x70 dump_stack+0x10/0x20 __schedule_bug+0x120/0x170 __schedule+0x300c/0x4800 schedule_rtlock+0x37/0x60 rtlock_slowlock_locked+0x6d9/0x54c0 rt_spin_lock+0x168/0x230 hrtimer_cancel_wait_running+0xe9/0x1b0 hrtimer_cancel+0x24/0x30 bpf_timer_delete_work+0x1d/0x40 bpf_timer_cancel_and_free+0x5e/0x80 bpf_obj_free_fields+0x262/0x4a0 check_and_free_fields+0x1d0/0x280 htab_map_update_elem+0x7fc/0x1500 bpf_prog_9f90bc20768e0cb9_overwrite_cb+0x3f/0x43 bpf_prog_ea601c4649694dbd_overwrite_timer+0x5d/0x7e bpf_prog_test_run_syscall+0x322/0x830 __sys_bpf+0x135d/0x3ca0 __x64_sys_bpf+0x75/0xb0 x64_sys_call+0x1b5/0xa10 do_syscall_64+0x3b/0xc0 entry_SYSCALL_64_after_hwframe+0x4b/0x53 ... Parece factible dividir la reutilización y el rellenado de extra_elems por CPU en dos partes independientes: reutilizar los extra_elems por CPU con el bloqueo del depósito mantenido y rellenar el old_element como extra_elems por CPU después de que se desbloquee el bloqueo del depósito. Sin embargo, hará que los procedimientos de sobrescritura concurrentes en la misma CPU devuelvan un error inesperado -E2BIG cuando el mapa esté lleno. Por lo tanto, el parche corrige el problema de bloqueo dividiendo la cancelación de bpf_timer en dos pasos para PREEMPT_RT: 1) use hrtimer_try_to_cancel() y verifique su valor de retorno 2) si el temporizador se está ejecutando, use hrtimer_cancel() a través de un kworker para cancelarlo nuevamente Considerando que la implementación actual de hrtimer_cancel() intentará adquirir un softirq_expiry_lock retenido cuando el temporizador actual se esté ejecutando, estos pasos anteriores son razonables. Sin embargo, también tiene desventajas. Cuando el temporizador se está ejecutando, la cancelación del temporizador se retrasa al liberar el último uref del mapa. El retraso también se puede corregir (por ejemplo, dividir la cancelación del temporizador bpf en dos partes: una parte en el ámbito bloqueado, otra en el ámbito desbloqueado), se puede revisar más tarde si es necesario. Es un poco difícil decidir la etiqueta de corrección correcta. Una razón es que el problema depende de PREEMPT_RT, que está habilitado en la versión v6.12. Teniendo en cuenta que el bloqueo softirq_expiry_lock existe desde la versión v5.4 y que bpf_timer se introdujo en la versión v5.15 --- truncado ---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_tables: rechaza la suma no coincidente de field_len con la longitud de la clave establecida La descripción de la longitud del campo proporciona la longitud de cada campo de clave separado en la concatenación, cada campo se redondea a 32 bits para calcular el ancho de la regla pipapo desde pipapo_init(). La longitud de la clave establecida proporciona el tamaño total de la clave alineada a 32 bits. La aritmética basada en registros aún permite combinar la longitud de la clave establecida y la descripción de la longitud del campo no coincidentes, p. ej., la longitud de la clave establecida 10 y la descripción del campo [ 5, 4 ], lo que lleva a un ancho de pipapo de 12.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: tegra - no transferir solicitud cuando falla la inicialización de tegra La función tegra_cmac_init o tegra_sha_init puede devolver un error cuando se agota la memoria. No debería transferir la solicitud cuando devuelven un error.