Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs/ntfs3: falla la cancelación de un inodo erróneo tras eliminar el nombre. El reproductor usa un archivo "file0" en un sistema de archivos ntfs3 con un i_link dañado. Al renombrar, el inodo de archivo "file0" se marca como erróneo porque no se puede eliminar el nombre del archivo. El error subyacente radica en que se llama a make_bad_inode() en un inodo activo. En algunos casos, la búsqueda de icache encuentra un inodo normal, se llama a d_splice_alias() para asociarlo a dentry, mientras que otro hilo decide llamar a make_bad_inode() en él; eso lo expulsaría de icache, pero ya lo habíamos encontrado allí anteriormente. En otros casos, es simplemente: "Tenemos un inodo asociado a dentry; así es como lo obtuvimos; llamemos a make_bad_inode() en él, solo por diversión".

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: eventpoll: Arregla recursión semi-ilimitada Garantiza que las instancias de epoll nunca puedan formar un grafo más profundo que los enlaces EP_MAX_NESTS+1. Actualmente, ep_loop_check_proc() garantiza que el grafo no tenga bucles y realiza algunas comprobaciones de profundidad de recursión, pero esas comprobaciones de profundidad de recursión no limitan la profundidad del árbol resultante por dos razones: - No miran hacia arriba en el árbol. - Si hay múltiples rutas descendentes de diferentes longitudes, solo una de las rutas se considera realmente para la comprobación de profundidad desde el commit 28d82dc1c4ed ("epoll: limitar rutas"). Esencialmente, la comprobación de profundidad de recursión actual en ep_loop_check_proc() solo sirve para evitar que recurra demasiado profundamente mientras comprueba bucles. Se realiza una comprobación más exhaustiva en reverse_path_check() después de que ya se haya creado el nuevo borde del grafo; Esto comprueba, entre otras cosas, que no existan rutas ascendentes desde ningún archivo que no sea epoll con una longitud de más de 5 aristas. Sin embargo, esta comprobación no se aplica a los archivos que no son epoll. Como resultado, es posible realizar una recursión a una profundidad de al menos aproximadamente 500, probada en la versión v6.15. (No estoy seguro de si es posible una recursión más profunda; esto puede haber cambiado con el commit 8c44dac8add7 ("eventpoll: Corrección del problema de inversión de prioridad")). Para solucionarlo: 1. En ep_loop_check_proc(), anote la profundidad del subárbol de cada nodo visitado y utilice las profundidades del subárbol para el cálculo de la profundidad total, incluso si ya se ha visitado un subárbol. 2. Añada ep_get_upwards_depth_proc() para determinar de forma similar la profundidad máxima de un recorrido ascendente. 3. En ep_loop_check(), utilice estos valores para limitar la longitud total de la ruta entre nodos epoll a EP_MAX_NESTS aristas.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vmci: Impedir el envío de payloads no inicializadas El reproductor ejecuta la llamada unlocked_ioctl del host en dos tareas diferentes. Cuando init_context falla, la estructura vmci_event_ctx no se inicializa por completo al ejecutar vmci_datagram_dispatch() para enviar eventos a todos los contextos de la máquina virtual. Esto afecta al datagrama tomado de la cola de datagramas de su contexto por otra tarea, porque el payload del datagrama no se inicializa según el tamaño payload_size, lo que provoca que los datos del kernel se filtren al espacio de usuario. Antes de enviar el datagrama y antes de configurar el contenido del payload, configure explícitamente el contenido de la carga útil a 0 para evitar la fuga de datos causada por la inicialización incompleta del payload.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: manejar jset (si a & b ...) como un salto en el cálculo CFG. BPF_JSET es un salto condicional y actualmente verifier.c:can_jump() no lo detecta. Esto puede provocar registros activos y cálculos SCC incorrectos. Por ejemplo, en el siguiente ejemplo: 1: r0 = 1; 2: r2 = 2; 3: si r1 & 0x7 goto +1; 4: salir; 5: r0 = r2; 6: salir; Sin esta corrección, insn_successors(3) solo devolverá (4), se omitiría un salto a (5) y r2 no se marcaría como activo en (3).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: staging: gpib: corrección de la copia de un campo de relleno no asignado al espacio de usuario. La introducción de un campo de relleno en gpib_board_info_ioctl se muestra como datos inicializados en el frame de pila que se copian al espacio de usuario en la función board_info_ioctl. La solución más sencilla es inicializar toda la estructura a cero para garantizar que todos los campos de relleno no asignados se restablezcan a cero antes de copiarse al espacio de usuario.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: staging: fbtft: se corrige una posible fuga de memoria en fbtft_framebuffer_alloc(). En las rutas de error, tras la asignación correcta de la estructura fb_info, la memoria asignada en fb_deferred_io_init() para info->pagerefs no se libera. Para solucionar esto, se añade la función de limpieza en la ruta de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powercap: dtpm_cpu: Corrección de la desreferencia de puntero nulo en get_pd_power_uw(). La función get_pd_power_uw() puede fallar con una desreferencia de puntero nulo cuando em_cpu_get() devuelve NULL. Esto ocurre cuando una CPU se vuelve inoperativa durante la ejecución, lo que provoca que get_cpu_device() devuelva NULL. Este comportamiento se propaga a través de em_cpu_get() y provoca un fallo cuando em_span_cpus() desreferencia el puntero nulo. Se añade una comprobación de NULL después de em_cpu_get() y se devuelve 0 si no está disponible, coincidiendo con el comportamiento de reserva existente en __dtpm_cpu_setup(). [rjw: Omitir una línea de código vacía sobrante]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PM/devfreq: Comprobar el gobernador antes de usar governor->name. El commit 96ffcdf239de ("PM/devfreq: Eliminar el nombre redundante de governor_name de la estructura devfreq") elimina governor_name y usa governor->name para reemplazarlo. Sin embargo, devfreq->governor podría ser NULL y usar directamente devfreq->governor->name podría causar una excepción de puntero nulo. Se debe mover la comprobación del gobernador a antes de usar governor->name.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf, ktls: Se corrige la corrupción de datos al usar bpf_msg_pop_data() en ktls. Al enviar datos de texto plano, inicialmente se calculaba la longitud del texto cifrado correspondiente. Sin embargo, si posteriormente se reducía la longitud de los datos de texto plano mediante la política de socket, no se podía recalcular la longitud del texto cifrado. Esto provoca que se transmitan búferes con datos sin inicializar durante la transmisión del texto cifrado. Esto provoca que se añadan bytes sin inicializar después de un paquete completo de "Datos de Aplicación", lo que genera errores en el receptor al analizar el registro TLS.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: corrección de slab-use-after-free en amdgpu_userq_mgr_fini+0x70c. El problema se reprodujo en NV10 mediante la prueba pci_unplug de IGT. Se espera que `amdgpu_driver_postclose_kms()` se llame antes que `amdgpu_drm_release()`. Sin embargo, el error radica en que `amdgpu_fpriv` se liberó en `amdgpu_driver_postclose_kms()` y luego se accedió a él en `amdgpu_drm_release()` mediante una llamada a `amdgpu_userq_mgr_fini()`. Como resultado, KASAN detectó una condición de use-after-free, como se muestra en el registro a continuación. La solución propuesta es mover las llamadas a `amdgpu_eviction_fence_destroy()` y `amdgpu_userq_mgr_fini()` a `amdgpu_driver_postclose_kms()`, de modo que se invoquen antes de que se libere `amdgpu_fpriv`. Esto también garantiza la simetría con la ruta de inicialización en `amdgpu_driver_open_kms()`, donde se inicializan los siguientes componentes: - `amdgpu_userq_mgr_init()` - `amdgpu_eviction_fence_init()` - `amdgpu_ctx_mgr_init()` En consecuencia, en `amdgpu_driver_postclose_kms()` debemos limpiar usando: - `amdgpu_userq_mgr_fini()` - `amdgpu_eviction_fence_destroy()` - `amdgpu_ctx_mgr_fini()` Este cambio elimina el use-after-free y mejora la consistencia en la gestión de recursos entre las rutas de apertura y cierre. [ +0.094367] ====================================================================== [ +0.000026] ERROR: KASAN: slab-use-after-free in amdgpu_userq_mgr_fini+0x70c/0x730 [amdgpu] [ +0.000866] Write of size 8 at addr ffff88811c068c60 by task amd_pci_unplug/1737 [ +0.000026] CPU: 3 UID: 0 PID: 1737 Comm: amd_pci_unplug Not tainted 6.14.0+ #2 [ +0.000008] Hardware name: ASUS System Product Name/ROG STRIX B550-F GAMING (WI-FI), BIOS 1401 12/03/2020 [ +0.000004] Call Trace: [ +0.000004] [ +0.000003] dump_stack_lvl+0x76/0xa0 [ +0.000010] print_report+0xce/0x600 [ +0.000009] ? amdgpu_userq_mgr_fini+0x70c/0x730 [amdgpu] [ +0.000790] ? srso_return_thunk+0x5/0x5f [ +0.000007] ? kasan_complete_mode_report_info+0x76/0x200 [ +0.000008] ? amdgpu_userq_mgr_fini+0x70c/0x730 [amdgpu] [ +0.000684] kasan_report+0xbe/0x110 [ +0.000007] ? amdgpu_userq_mgr_fini+0x70c/0x730 [amdgpu] [ +0.000601] __asan_report_store8_noabort+0x17/0x30 [ +0.000007] amdgpu_userq_mgr_fini+0x70c/0x730 [amdgpu] [ +0.000801] ? __pfx_amdgpu_userq_mgr_fini+0x10/0x10 [amdgpu] [ +0.000819] ? srso_return_thunk+0x5/0x5f [ +0.000008] amdgpu_drm_release+0xa3/0xe0 [amdgpu] [ +0.000604] __fput+0x354/0xa90 [ +0.000010] __fput_sync+0x59/0x80 [ +0.000005] __x64_sys_close+0x7d/0xe0 [ +0.000006] x64_sys_call+0x2505/0x26f0 [ +0.000006] do_syscall_64+0x7c/0x170 [ +0.000004] ? kasan_record_aux_stack+0xae/0xd0 [ +0.000005] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? kmem_cache_free+0x398/0x580 [ +0.000006] ? __fput+0x543/0xa90 [ +0.000006] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? __fput+0x543/0xa90 [ +0.000004] ? __kasan_check_read+0x11/0x20 [ +0.000007] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? __kasan_check_read+0x11/0x20 [ +0.000003] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? fpregs_assert_state_consistent+0x21/0xb0 [ +0.000006] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? syscall_exit_to_user_mode+0x4e/0x240 [ +0.000005] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? do_syscall_64+0x88/0x170 [ +0.000003] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? do_syscall_64+0x88/0x170 [ +0.000004] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? irqentry_exit+0x43/0x50 [ +0.000004] ? srso_return_thunk+0x5/0x5f [ +0.000004] ? exc_page_fault+0x7c/0x110 [ +0.000006] entry_SYSCALL_64_after_hwframe+0x76/0x7e [ +0.000005] RIP: 0033:0x7ffff7b14f67 [ +0.000005] Code: ff e8 0d 16 02 00 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 00 f3 0f 1e fa 64 8b 04 25 18 00 00 00 85 c0 75 10 b8 03 00 00 00 0f 05 <48> 3d 00 f0 ff ff 77 41 c3 48 83 ec 18 89 7c 24 0c e8 73 ba f7 ff [ +0.000004] RSP: 002b:00007fffffffe358 EFLAGS: 00000246 ORIG_RAX: 0000000000000003 [ +0.000006] RAX: ffffffffff ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: ath12k: Evitar el acceso arvif->ar no inicializado durante un fallo de baliza. Durante la gestión de fallos de baliza, el controlador ath12k itera sobre interfaces virtuales activas (VIF) e intenta acceder al objeto de radio (AR) mediante arvif->deflink->ar. Sin embargo, tras el commit aa80f12f3bed ("wifi: ath12k: aplazar la creación de VDEV para MLO"), arvif se vincula a una radio solo después de la creación de VDEV, normalmente cuando se asigna un canal o se solicita un escaneo. Para dispositivos con capacidad P2P, wpa_supplicant crea una interfaz P2P predeterminada junto con las interfaces de estación normales. Estas sirven como interfaces ficticias para estaciones con capacidad P2P, carecen de un netdev asociado e inician escaneos frecuentes para descubrir dispositivos P2P vecinos. Al iniciar un escaneo en estos vifs P2P, el controlador selecciona la radio de destino (ar) según su frecuencia, crea un vdev de escaneo y asocia el arvif a la radio. Una vez que el escaneo se completa o se aborta, el vdev de escaneo se elimina, desconectando el arvif de la radio y dejando el archivo arvif->ar sin inicializar. Al gestionar fallos de baliza para las interfaces de estación, también se encuentra la interfaz P2P en la iteración del vif y ath12k_mac_handle_beacon_miss_iter() intenta desreferenciar el archivo arvif->deflink->ar sin inicializar. Para solucionar esto, verifique que el vdev se haya creado para el arvif antes de acceder a su ar durante la gestión de fallos de baliza y devoluciones de llamada similares del iterador vif. ============================================================================ wlp6s0: se detectó pérdida de baliza del AP (7 balizas perdidas) - sondeando KASAN: null-ptr-deref in range [0x0000000000000010-0x0000000000000017] CPU: 5 UID: 0 PID: 0 Comm: swapper/5 Not tainted 6.16.0-rc1-wt-ath+ #2 PREEMPT(full) RIP: 0010:ath12k_mac_handle_beacon_miss_iter+0xb5/0x1a0 [ath12k] Call Trace: __iterate_interfaces+0x11a/0x410 [mac80211] ieee80211_iterate_active_interfaces_atomic+0x61/0x140 [mac80211] ath12k_mac_handle_beacon_miss+0xa1/0xf0 [ath12k] ath12k_roam_event+0x393/0x560 [ath12k] ath12k_wmi_op_rx+0x1486/0x28c0 [ath12k] ath12k_htc_process_trailer.isra.0+0x2fb/0x620 [ath12k] ath12k_htc_rx_completion_handler+0x448/0x830 [ath12k] ath12k_ce_recv_process_cb+0x549/0x9e0 [ath12k] ath12k_ce_per_engine_service+0xbe/0xf0 [ath12k] ath12k_pci_ce_workqueue+0x69/0x120 [ath12k] process_one_work+0xe3a/0x1430 Tested-on: QCN9274 hw2.0 PCI WLAN.WBE.1.4.1-00199-QCAHKSWPL_SILICONZ-1 Tested-on: WCN7850 hw2.0 PCI WLAN.HMT.1.1.c5-00284.1-QCAHMTSWPL_V1.0_V2.0_SILICONZ-3

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mt76: mt7925: corrección de uno en mt7925_mcu_hw_scan() Las matrices ssid->ssids[] y sreq->ssids[] tienen elementos MT7925_RNR_SCAN_MAX_BSSIDS, por lo que esto >= debe ser > para evitar un acceso fuera de los límites.