Vulnerabilidades

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> nfsd: corregir fuga de referencia de nfsd_file en nfsd4_add_rdaccess_to_wrdeleg()<br /> <br /> nfsd4_add_rdaccess_to_wrdeleg() sobrescribe incondicionalmente fp-&amp;gt;fi_fds[O_RDONLY] con un nfsd_file recién adquirido. Sin embargo, si el cliente ya tiene una apertura SHARE_ACCESS_READ de una operación OPEN anterior, esta acción sobrescribe el puntero existente sin liberar su referencia, dejando huérfana la referencia anterior.<br /> <br /> Además, la función originalmente almacenaba el mismo puntero nfsd_file tanto en fp-&amp;gt;fi_fds[O_RDONLY] como en fp-&amp;gt;fi_rdeleg_file con una sola referencia. Cuando se ejecuta put_deleg_file(), borra fi_rdeleg_file y llama a nfs4_file_put_access() para liberar el archivo.<br /> <br /> Sin embargo, nfs4_file_put_access() solo libera fi_fds[O_RDONLY] cuando el contador fi_access[O_RDONLY] cae a cero. Si existe otra apertura READ en el archivo, el contador permanece elevado y la referencia nfsd_file de la delegación nunca se libera. Esto potencialmente causa conflictos de apertura en ese archivo.<br /> <br /> Luego, al apagar el servidor, estas fugas hacen que __nfsd_file_cache_purge() encuentre archivos con un recuento de referencias elevado que no pueden ser limpiados, lo que finalmente dispara un BUG() en kmem_cache_destroy() porque todavía hay objetos nfsd_file asignados en esa caché.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> team: corregir la verificación de puerto habilitado en team_queue_override_port_prio_changed()<br /> <br /> Se ha reportado recientemente un error de syzkaller con la siguiente traza:<br /> <br /> list_del corruption, ffff888058bea080-&amp;gt;prev es LIST_POISON2 (dead000000000122)<br /> ------------[ cortar aquí ]------------<br /> ERROR del kernel en lib/list_debug.c:59!<br /> Oops: código de operación inválido: 0000 [#1] SMP KASAN NOPTI<br /> CPU: 3 UID: 0 PID: 21246 Comm: syz.0.2928 No contaminado syzkaller #0 PREEMPT(full)<br /> Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014<br /> RIP: 0010:__list_del_entry_valid_or_report+0x13e/0x200 lib/list_debug.c:59<br /> Code: 48 c7 c7 e0 71 f0 8b e8 30 08 ef fc 90 0f 0b 48 89 ef e8 a5 02 55 fd 48 89 ea 48 89 de 48 c7 c7 40 72 f0 8b e8 13 08 ef fc 90 &amp;lt;0f&amp;gt; 0b 48 89 ef e8 88 02 55 fd 48 89 ea 48 b8 00 00 00 00 00 fc ff<br /> RSP: 0018:ffffc9000d49f370 EFLAGS: 00010286<br /> RAX: 000000000000004e RBX: ffff888058bea080 RCX: ffffc9002817d000<br /> RDX: 0000000000000000 RSI: ffffffff819becc6 RDI: 0000000000000005<br /> RBP: dead000000000122 R08: 0000000000000005 R09: 0000000000000000<br /> R10: 0000000080000000 R11: 0000000000000001 R12: ffff888039e9c230<br /> R13: ffff888058bea088 R14: ffff888058bea080 R15: ffff888055461480<br /> FS: 00007fbbcfe6f6c0(0000) GS:ffff8880d6d0a000(0000) knlGS:0000000000000000<br /> CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033<br /> CR2: 000000110c3afcb0 CR3: 00000000382c7000 CR4: 0000000000352ef0<br /> Traza de llamadas:<br /> <br /> __list_del_entry_valid include/linux/list.h:132 [inline]<br /> __list_del_entry include/linux/list.h:223 [inline]<br /> list_del_rcu include/linux/rculist.h:178 [inline]<br /> __team_queue_override_port_del drivers/net/team/team_core.c:826 [inline]<br /> __team_queue_override_port_del drivers/net/team/team_core.c:821 [inline]<br /> team_queue_override_port_prio_changed drivers/net/team/team_core.c:883 [inline]<br /> team_priority_option_set+0x171/0x2f0 drivers/net/team/team_core.c:1534<br /> team_option_set drivers/net/team/team_core.c:376 [inline]<br /> team_nl_options_set_doit+0x8ae/0xe60 drivers/net/team/team_core.c:2653<br /> genl_family_rcv_msg_doit+0x209/0x2f0 net/netlink/genetlink.c:1115<br /> genl_family_rcv_msg net/netlink/genetlink.c:1195 [inline]<br /> genl_rcv_msg+0x55c/0x800 net/netlink/genetlink.c:1210<br /> netlink_rcv_skb+0x158/0x420 net/netlink/af_netlink.c:2552<br /> genl_rcv+0x28/0x40 net/netlink/genetlink.c:1219<br /> netlink_unicast_kernel net/netlink/af_netlink.c:1320 [inline]<br /> netlink_unicast+0x5aa/0x870 net/netlink/af_netlink.c:1346<br /> netlink_sendmsg+0x8c8/0xdd0 net/netlink/af_netlink.c:1896<br /> sock_sendmsg_nosec net/socket.c:727 [inline]<br /> __sock_sendmsg net/socket.c:742 [inline]<br /> ____sys_sendmsg+0xa98/0xc70 net/socket.c:2630<br /> ___sys_sendmsg+0x134/0x1d0 net/socket.c:2684<br /> __sys_sendmsg+0x16d/0x220 net/socket.c:2716<br /> do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline]<br /> do_syscall_64+0xcd/0xfa0 arch/x86/entry/syscall_64.c:94<br /> entry_SYSCALL_64_after_hwframe+0x77/0x7f<br /> <br /> El problema está en este flujo:<br /> 1) El puerto está habilitado, queue_id != 0, en qom_list<br /> 2) El puerto se deshabilita<br /> -&amp;gt; team_port_disable()<br /> -&amp;gt; team_queue_override_port_del()<br /> -&amp;gt; del (eliminado de la lista)<br /> 3) El puerto está deshabilitado, queue_id != 0, no está en ninguna lista<br /> 4) La prioridad cambia<br /> -&amp;gt; team_queue_override_port_prio_changed()<br /> -&amp;gt; verifica: puerto deshabilitado &amp;amp;&amp;amp; queue_id != 0<br /> -&amp;gt; llama a del - encuentra el ERROR ya que ya ha sido eliminado<br /> <br /> Para solucionar esto, cambie la verificación en team_queue_override_port_prio_changed() para que retorne anticipadamente si el puerto no está habilitado.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> RDMA/bnxt_re: Corrección de escritura fuera de límites en bnxt_re_copy_err_stats()<br /> <br /> El commit ef56081d1864 (&amp;#39;RDMA/bnxt_re: actualización de contadores de hardware relacionados con RoCE&amp;#39;) añadió tres nuevos contadores y los colocó después de BNXT_RE_OUT_OF_SEQ_ERR.<br /> <br /> BNXT_RE_OUT_OF_SEQ_ERR actúa como un marcador de límite para la asignación de estadísticas de hardware con diferentes valores de num_counters en dispositivos chip_gen_p5_p7.<br /> <br /> Como resultado, se utilizan BNXT_RE_NUM_STD_COUNTERS al asignar hw_stats, lo que lleva a una escritura fuera de límites en bnxt_re_copy_err_stats().<br /> <br /> Los contadores BNXT_RE_REQ_CQE_ERROR, BNXT_RE_RESP_CQE_ERROR y BNXT_RE_RESP_REMOTE_ACCESS_ERRS son aplicables a hardware genérico, no solo a dispositivos p5/p7.<br /> <br /> Esto se corrige moviendo estos contadores antes de BNXT_RE_OUT_OF_SEQ_ERR para que se incluyan en el conjunto de contadores genéricos.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> drm/xe/oa: Limitar num_syncs para prevenir asignaciones sobredimensionadas<br /> <br /> Los parámetros de apertura de OA no validaban num_syncs, permitiendo que el espacio de usuario pasara valores arbitrariamente grandes, lo que podría llevar a asignaciones excesivas.<br /> <br /> Añadir una comprobación para asegurar que num_syncs no exceda DRM_XE_MAX_SYNCS, devolviendo -EINVAL cuando se viola el límite.<br /> <br /> v2: usar XE_IOCTL_DBG() y eliminar la comprobación duplicada. (Ashutosh)<br /> <br /> (extraído del commit e057b2d2b8d815df3858a87dffafa2af37e5945b)

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> tpm: Limitar el número de bancos PCR<br /> <br /> tpm2_get_pcr_allocation() no establece ningún límite superior para el número de bancos. Establecer el límite en ocho bancos para que los valores fuera de límites provenientes de E/S externa causen solo un daño limitado.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> net: nfc: corrige interbloqueo entre nfc_unregister_device y rfkill_fop_write<br /> <br /> Puede ocurrir un interbloqueo entre nfc_unregister_device() y rfkill_fop_write() debido a la inversión del orden de bloqueo entre device_lock y rfkill_global_mutex.<br /> <br /> El orden de bloqueo problemático es:<br /> <br /> Hilo A (rfkill_fop_write):<br /> rfkill_fop_write()<br /> mutex_lock(&amp;amp;rfkill_global_mutex)<br /> rfkill_set_block()<br /> nfc_rfkill_set_block()<br /> nfc_dev_down()<br /> device_lock(&amp;amp;dev-&amp;gt;dev) &amp;lt;- espera por device_lock<br /> <br /> Hilo B (nfc_unregister_device):<br /> nfc_unregister_device()<br /> device_lock(&amp;amp;dev-&amp;gt;dev)<br /> rfkill_unregister()<br /> mutex_lock(&amp;amp;rfkill_global_mutex) &amp;lt;- espera por rfkill_global_mutex<br /> <br /> Esto crea un escenario clásico de interbloqueo ABBA.<br /> <br /> Soluciona esto moviendo rfkill_unregister() y rfkill_destroy() fuera de la sección crítica de device_lock. Almacena el puntero rfkill en una variable local antes de liberar el bloqueo, luego llama a rfkill_unregister() después de liberar device_lock.<br /> <br /> Este cambio es seguro porque rfkill_fop_write() mantiene rfkill_global_mutex mientras llama a las retrollamadas de rfkill, y rfkill_unregister() también adquiere rfkill_global_mutex antes de la limpieza. Por lo tanto, rfkill_unregister() esperará a que cualquier retrollamada en curso se complete antes de continuar, y device_del() solo se llama después de que rfkill_unregister() retorna, previniendo cualquier uso después de liberación.<br /> <br /> El orden de bloqueo similar en nfc_register_device() (device_lock -&amp;gt; rfkill_global_mutex a través de rfkill_register) es seguro porque durante el registro el dispositivo aún no está en rfkill_list, por lo que no pueden ocurrir operaciones rfkill concurrentes en este dispositivo.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ipv6: corregir un BUG en rt6_get_pcpu_route() bajo PREEMPT_RT<br /> <br /> En kernels PREEMPT_RT, después de que rt6_get_pcpu_route() devuelve NULL, la tarea actual puede ser desalojada. Otra tarea ejecutándose en la misma CPU puede entonces ejecutar rt6_make_pcpu_route() e instalar exitosamente una entrada pcpu_rt. Cuando la primera tarea reanuda la ejecución, su cmpxchg() en rt6_make_pcpu_route() fallará porque rt6i_pcpu ya no es NULL, lo que activa el BUG_ON(prev). Es fácil reproducirlo añadiendo mdelay() después de rt6_get_pcpu_route().<br /> <br /> Usar preempt_disable/enable no es apropiado aquí porque ip6_rt_pcpu_alloc() puede dormir.<br /> <br /> Solucionar esto manejando el fallo de cmpxchg() de forma elegante en PREEMPT_RT: liberar nuestra asignación y devolver el pcpu_rt existente instalado por otra tarea. El BUG_ON es reemplazado por WARN_ON_ONCE para kernels que no son PREEMPT_RT donde tales condiciones de carrera no deberían ocurrir.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> ASoC: stm32: sai: corregir fuga de nodo OF en la sonda<br /> <br /> La referencia tomada al nodo OF del proveedor de sincronización al sondear el dispositivo de plataforma actualmente solo se libera si la devolución de llamada set_sync() falla durante la sonda DAI.<br /> <br /> Asegurarse de liberar la referencia en fallos de sonda de plataforma (p. ej., aplazamiento de sonda) y en la desvinculación del controlador.<br /> <br /> Esto también evita un potencial uso después de liberación en caso de que el DAI sea resondado alguna vez sin antes volver a vincular el controlador de plataforma.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> Bluetooth: btusb: revertir el uso de devm_kzalloc en btusb<br /> <br /> Esto revierte el commit 98921dbd00c4e (&amp;#39;Bluetooth: Usar devm_kzalloc en el archivo btusb.c&amp;#39;).<br /> <br /> En btusb_probe(), usamos devm_kzalloc() para asignar los datos de btusb. Esto vincula la vida útil de todos los datos de btusb a la vinculación de un controlador a una interfaz, INTF. En un controlador que se vincula a otras interfaces, ISOC y DIAG, esto es un accidente a punto de ocurrir.<br /> <br /> El problema se revela en btusb_disconnect(), donde llamar a usb_driver_release_interface(&amp;amp;btusb_driver, data-&amp;gt;intf) hará que devm libere los datos que también están siendo utilizados por las otras interfaces del controlador que quizás aún no se hayan liberado.<br /> <br /> Para solucionar esto, se revierte el uso de devm y se vuelve a liberar la memoria explícitamente.

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> drm/ttm: Evitar desreferencia de puntero NULL para BOs desalojados<br /> <br /> Es posible que exista un BO que no esté actualmente asociado a un recurso, p. ej., porque ha sido desalojado.<br /> <br /> Cuando devcoredump intenta leer el contenido de todos los BOs para el volcado, también debemos esperar esto -- en este caso, se registra ENODATA en lugar del contenido del búfer.

*** Pendiente de traducción *** In the Linux kernel, the following vulnerability has been resolved:<br /> <br /> powerpc/64s/slb: Fix SLB multihit issue during SLB preload<br /> <br /> On systems using the hash MMU, there is a software SLB preload cache that<br /> mirrors the entries loaded into the hardware SLB buffer. This preload<br /> cache is subject to periodic eviction — typically after every 256 context<br /> switches — to remove old entry.<br /> <br /> To optimize performance, the kernel skips switch_mmu_context() in<br /> switch_mm_irqs_off() when the prev and next mm_struct are the same.<br /> However, on hash MMU systems, this can lead to inconsistencies between<br /> the hardware SLB and the software preload cache.<br /> <br /> If an SLB entry for a process is evicted from the software cache on one<br /> CPU, and the same process later runs on another CPU without executing<br /> switch_mmu_context(), the hardware SLB may retain stale entries. If the<br /> kernel then attempts to reload that entry, it can trigger an SLB<br /> multi-hit error.<br /> <br /> The following timeline shows how stale SLB entries are created and can<br /> cause a multi-hit error when a process moves between CPUs without a<br /> MMU context switch.<br /> <br /> CPU 0 CPU 1<br /> ----- -----<br /> Process P<br /> exec swapper/1<br /> load_elf_binary<br /> begin_new_exc<br /> activate_mm<br /> switch_mm_irqs_off<br /> switch_mmu_context<br /> switch_slb<br /> /*<br /> * This invalidates all<br /> * the entries in the HW<br /> * and setup the new HW<br /> * SLB entries as per the<br /> * preload cache.<br /> */<br /> context_switch<br /> sched_migrate_task migrates process P to cpu-1<br /> <br /> Process swapper/0 context switch (to process P)<br /> (uses mm_struct of Process P) switch_mm_irqs_off()<br /> switch_slb<br /> load_slb++<br /> /*<br /> * load_slb becomes 0 here<br /> * and we evict an entry from<br /> * the preload cache with<br /> * preload_age(). We still<br /> * keep HW SLB and preload<br /> * cache in sync, that is<br /> * because all HW SLB entries<br /> * anyways gets evicted in<br /> * switch_slb during SLBIA.<br /> * We then only add those<br /> * entries back in HW SLB,<br /> * which are currently<br /> * present in preload_cache<br /> * (after eviction).<br /> */<br /> load_elf_binary continues...<br /> setup_new_exec()<br /> slb_setup_new_exec()<br /> <br /> sched_switch event<br /> sched_migrate_task migrates<br /> process P to cpu-0<br /> <br /> context_switch from swapper/0 to Process P<br /> switch_mm_irqs_off()<br /> /*<br /> * Since both prev and next mm struct are same we don&amp;#39;t call<br /> * switch_mmu_context(). This will cause the HW SLB and SW preload<br /> * cache to go out of sync in preload_new_slb_context. Because there<br /> * was an SLB entry which was evicted from both HW and preload cache<br /> * on cpu-1. Now later in preload_new_slb_context(), when we will try<br /> * to add the same preload entry again, we will add this to the SW<br /> * preload cache and then will add it to the HW SLB. Since on cpu-0<br /> * this entry was never invalidated, hence adding this entry to the HW<br /> * SLB will cause a SLB multi-hit error.<br /> */<br /> load_elf_binary cont<br /> ---truncated---

En el kernel de Linux, la siguiente vulnerabilidad ha sido resuelta:<br /> <br /> svcrdma: comprobación de límites del índice rq_pages en la ruta en línea<br /> <br /> svc_rdma_copy_inline_range indexó rqstp-&amp;gt;rq_pages[rc_curpage] sin verificar que rc_curpage se mantuviera dentro del array de páginas asignado. Añadir protecciones antes del primer uso y después de avanzar a una nueva página.