Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/core: Prevenir la división de VMA de las asignaciones de búfer El código perf mmap es cuidadoso al realizar mmap() en la página de usuario con el búfer de anillo y, adicionalmente, el búfer auxiliar, cuando el evento lo admite. Una vez que se establece la primera asignación, las asignaciones posteriores deben usar el mismo desplazamiento y el mismo tamaño en ambos casos. El recuento de referencias para el búfer de anillo y el búfer auxiliar depende de que esto sea correcto. Aunque perf no impide que una asignación relacionada se divida mediante mmap(2), munmap(2) o mremap(2). Una división de una VMA da como resultado llamadas a perf_mmap_open(), que toman recuentos de referencias, pero luego las llamadas perf_mmap_close() posteriores ya no cumplen con las comprobaciones de desplazamiento y tamaño. Esto conduce a fugas de recuento de referencias. Como perf ya tiene el requisito de que las asignaciones posteriores coincidan con la asignación inicial, la consecuencia obvia es que se deben evitar las divisiones de VMA, causadas por el cambio de tamaño de una asignación o la desasignación parcial. Implemente la función de retorno vm_operations_struct::may_split() y devuelva incondicionalmente -EINVAL. Esto garantiza que los desplazamientos y tamaños de la asignación no se puedan modificar posteriormente. La reasignación a una dirección fija diferente con el mismo tamaño sigue siendo posible, ya que toma las referencias de la nueva asignación y descarta las de la asignación anterior.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: uvc: Inicializar descriptor de coincidencia de color de formato basado en frame. Se corrige el fallo del puntero nulo en uvcg_framebased_make debido a un descriptor de coincidencia de color no inicializado para el formato basado en frame, que se añadió en el commit f5e7bdd34aca ("usb: gadget: uvc: Permitir la creación de nuevos descriptores de coincidencia de color") que agregó el manejo para el formato sin comprimir y mjpeg. El fallo se observa cuando la configuración del espacio de usuario (a través de configfs) no define explícitamente el descriptor de coincidencia de color. Si no se encuentra color_matching, config_group_find_item() devuelve NULL. El código luego salta a out_put_cm, donde llama a config_item_put(color_matching);. Si color_matching es NULL, esto desreferenciará un puntero nulo, lo que provocará un fallo. [ 2.746440] No se puede manejar la desreferencia del puntero NULL del núcleo en la dirección virtual 000000000000008c [ 2.756273] Información de aborto de memoria: [ 2.760080] ESR = 0x0000000096000005 [ 2.764872] EC = 0x25: DABT (current EL), IL = 32 bits [ 2.771068] SET = 0, FnV = 0 [ 2.771069] EA = 0, S1PTW = 0 [ 2.771070] FSC = 0x05: level 1 translation fault [ 2.771071] Data abort info: [ 2.771072] ISV = 0, ISS = 0x00000005, ISS2 = 0x00000000 [ 2.771073] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 2.771074] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 2.771075] user pgtable: 4k pages, 39-bit VAs, pgdp=00000000a3e59000 [ 2.771077] [000000000000008c] pgd=0000000000000000, p4d=0000000000000000, pud=0000000000000000 [ 2.771081] Internal error: Oops: 0000000096000005 [#1] PREEMPT SMP [ 2.771084] Dumping ftrace buffer: [ 2.771085] (ftrace buffer empty) [ 2.771138] CPU: 7 PID: 486 Comm: ln Tainted: G W E 6.6.58-android15 [ 2.771139] Hardware name: Qualcomm Technologies, Inc. SunP QRD HDK (DT) [ 2.771140] pstate: 61400005 (nZCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) [ 2.771141] pc : __uvcg_fill_strm+0x198/0x2cc [ 2.771145] lr : __uvcg_iter_strm_cls+0xc8/0x17c [ 2.771146] sp : ffffffc08140bbb0 [ 2.771146] x29: ffffffc08140bbb0 x28: ffffff803bc81380 x27: ffffff8023bbd250 [ 2.771147] x26: ffffff8023bbd250 x25: ffffff803c361348 x24: ffffff803d8e6768 [ 2.771148] x23: 0000000000000004 x22: 0000000000000003 x21: ffffffc08140bc48 [ 2.771149] x20: 0000000000000000 x19: ffffffc08140bc48 x18: ffffffe9f8cf4a00 [ 2.771150] x17: 000000001bf64ec3 x16: 000000001bf64ec3 x15: ffffff8023bbd250 [ 2.771151] x14: 000000000000000f x13: 004c4b40000f4240 x12: 000a2c2a00051615 [ 2.771152] x11: 000000000000004f x10: ffffffe9f76b40ec x9 : ffffffe9f7e389d0 [ 2.771153] x8 : ffffff803d0d31ce x7 : 000f4240000a2c2a x6 : 0005161500028b0a [ 2.771154] x5 : ffffff803d0d31ce x4 : 0000000000000003 x3 : 0000000000000000 [ 2.771155] x2 : ffffffc08140bc50 x1 : ffffffc08140bc48 x0 : 0000000000000000 [ 2.771156] Call trace: [ 2.771157] __uvcg_fill_strm+0x198/0x2cc [ 2.771157] __uvcg_iter_strm_cls+0xc8/0x17c [ 2.771158] uvcg_streaming_class_allow_link+0x240/0x290 [ 2.771159] configfs_symlink+0x1f8/0x630 [ 2.771161] vfs_symlink+0x114/0x1a0 [ 2.771163] do_symlinkat+0x94/0x28c [ 2.771164] __arm64_sys_symlinkat+0x54/0x70 [ 2.771164] invoke_syscall+0x58/0x114 [ 2.771166] el0_svc_common+0x80/0xe0 [ 2.771168] do_el0_svc+0x1c/0x28 [ 2.771169] el0_svc+0x3c/0x70 [ 2.771172] el0t_64_sync_handler+0x68/0xbc [ 2.771173] el0t_64_sync+0x1a8/0x1ac Inicializa el descriptor de coincidencia de color para el formato basado en frame para evitar el bloqueo del puntero NULL reflejando el manejo realizado para los formatos sin comprimir y mjpeg.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: platform/x86/intel/pmt: corrección de un acceso a puntero nulo en el registro de fallos. El uso de intel_pmt_read() para sistemas binarios sysfs requiere un pcidev. El uso actual del valor del endpoint solo es válido para el uso de endpoints de telemetría. Sin el ep, el uso del registro de fallos provoca la siguiente excepción de puntero nulo: ERROR: desreferencia de puntero nulo del kernel, dirección: 0000000000000000 ¡Uy!: ¡Uy!: 0000 [#1] SMP NOPTI RIP: 0010:intel_pmt_read+0x3b/0x70 [pmt_class] Código: Seguimiento de llamadas: ? Aumente la estructura intel_pmt_entry con un puntero a pcidev para evitar la excepción del puntero NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/core: Manejar el error de mapeo de búfer correctamente en perf_mmap() Después de la asignación exitosa de un búfer o una conexión exitosa a un búfer existente, perf_mmap() intenta mapear el búfer de solo lectura en la tabla de páginas. Si eso falla, las entradas de la tabla de páginas ya configuradas se eliminan, pero los otros efectos secundarios específicos de perf de ese fallo no se manejan. El código de llamada simplemente limpia el VMA y no invoca perf_mmap_close(). Esto filtra los recuentos de referencia, corrompe la contabilidad de usuario->vm y también resulta en una invocación desequilibrada de event::event_mapped(). Solucione esto moviendo la invocación de event::event_mapped() antes de la llamada a map_range() para que en el fallo de map_range() se pueda invocar perf_mmap_close() sin causar una llamada desequilibrada a event::event_unmapped(). perf_mmap_close() deshace los recuentos de referencia y eventualmente libera los búferes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/sev: Expulsar líneas de caché durante la validación de memoria SNP Una vulnerabilidad de coherencia de caché SNP requiere una mitigación de expulsión de línea de caché al validar la memoria después de un cambio de estado de página a privado. La mitigación específica es tocar el primer y el último byte de cada página de 4K que se está validando. No es necesario realizar la mitigación cuando se realiza un cambio de estado de página a compartido y se rescinde la validación. El bit CPUID Fn8000001F_EBX[31] define el bit COHERENCY_SFW_NO CPUID que, cuando se establece, indica que no se necesita la mitigación de software para esta vulnerabilidad. Implemente la mitigación e invóquela al validar la memoria (haciéndola privada) y el bit COHERENCY_SFW_NO no está establecido, lo que indica que el invitado SNP es vulnerable.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: corrección del problema de use-after-free en composite_dev_cleanup(). 1. En la función configfs_composite_bind() -> composite_os_desc_req_prepare(): si kmalloc falla, el puntero cdev->os_desc_req se liberará, pero no se establecerá en NULL. En ese caso, devolverá un error a la función de nivel superior. 2. En la función configfs_composite_bind() -> composite_dev_cleanup(): comprobará si cdev->os_desc_req es NULL. Si no lo es, intentará usarlo. Esto provocará un problema de use-after-free. ERROR: KASAN: use-after-free en composite_dev_cleanup+0xf4/0x2c0 Lectura de tamaño 8 en la dirección 0000004827837a00 por la tarea init/1 CPU: 10 PID: 1 Comm: init Contaminado: GO 5.10.97-oh #1 kasan_report+0x188/0x1cc __asan_load8+0xb4/0xbc composite_dev_cleanup+0xf4/0x2c0 configfs_composite_bind+0x210/0x7ac udc_bind_to_driver+0xb4/0x1ec usb_gadget_probe_driver+0xec/0x21c gadget_dev_desc_UDC_store+0x264/0x27c

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: se corrige un UAF cuando vma->mm se libera después de que vma->vm_refcnt se eliminara. Al inducir retrasos en los lugares adecuados, Jann Horn creó un reproductor para un problema de UAF difícil de alcanzar que se hizo posible después de que se permitiera reciclar los VMA agregando SLAB_TYPESAFE_BY_RCU a su caché. La descripción de la ejecución se tomó prestada del informe de descubrimiento de Jann: lock_vma_under_rcu() busca un VMA sin bloqueo con mas_walk() bajo rcu_read_lock(). En ese punto, el VMA puede liberarse simultáneamente y puede reciclarse por otro proceso. vma_start_read() luego incrementa vma->vm_refcnt (si está en un rango aceptable) y, si esto tiene éxito, vma_start_read() puede devolver un VMA reciclado. En este escenario, donde el VMA se ha reciclado, lock_vma_under_rcu() detectará el puntero ->vm_mm no coincidente y eliminará el VMA mediante vma_end_read(), que llama a vma_refcount_put(). vma_refcount_put() elimina el recuento de referencias y luego llama a rcuwait_wake_up() usando una copia de vma->vm_mm. Esto es incorrecto: asume implícitamente que quien llama mantiene activo el mm del VMA, pero en este escenario, quien llama no tiene relación con el mm del VMA, por lo que rcuwait_wake_up() puede causar UAF. El diagrama que representa la ejecución: T1 T2 T3 == == == lock_vma_under_rcu mas_walk mmap vma_start_read __refcount_inc_not_zero_limited_acquire munmap __vma_enter_locked refcount_add_not_zero vma_end_read vma_refcount_put __refcount_dec_and_test rcuwait_wait_event rcuwait_wake_up [UAF] Tenga en cuenta que rcuwait_wait_event() en T3 no se bloquea porque refcount ya fue descartado por T1. En este punto, T3 puede salir y liberar el mm que causa UAF en T1. Para evitar esto, movemos la verificación vma->vm_mm a vma_start_read() y tomamos vma->vm_mm para estabilizarlo antes de la operación vma_refcount_put(). [surenb@google.com: v3]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: apple: validar el recuento de campos del informe de características para evitar la desreferencia de puntero NULL. Un dispositivo HID malicioso con la peculiaridad APPLE_MAGIC_BACKLIGHT puede activar una desreferencia de puntero NULL mientras el informe de características de potencia se conmuta y se envía al dispositivo en apple_magic_backlight_report_set(). Se espera que el informe de características de potencia tenga dos campos de datos, pero si el descriptor declara un campo, entonces acceder a field[1] y desreferenciarlo en apple_magic_backlight_report_set() se vuelve inválido ya que field[1] será NULL. Un ejemplo de un descriptor mínimo que puede causar el bloqueo es algo como lo siguiente, donde el informe con ID 3 (informe de potencia) solo hace referencia a un único campo de 1 byte. Cuando el núcleo hid analiza el descriptor, encontrará la etiqueta de característica final, asignará un hid_report (todos los miembros de field[] se pondrán a cero), creará una estructura de campo y la completará, aumentando el maxfield a 1. El acceso y la desreferencia a field[1] posteriores provocan el bloqueo. Página de uso (definida por el proveedor 0xFF00) Uso (0x0F) Recopilación (aplicación) ID de informe (1) Uso (0x01) Mínimo lógico (0) Máximo lógico (255) Tamaño de informe (8) Cantidad de informes (1) Característica (datos, variables, abs) Uso (0x02) Máximo lógico (32767) Tamaño de informe (16) Cantidad de informes (1) Característica (datos, variables, abs) ID de informe (3) Uso (0x03) Mínimo lógico (0) Máximo lógico (1) Tamaño de informe (8) Cantidad de informes (1) Característica (datos, variables, abs) Fin de recopilación Aquí vemos el splat de KASAN cuando el núcleo desreferencia el puntero NULL y se bloquea: [ 15.164723] Ups: fallo de protección general, probablemente para la dirección no canónica 0xdffffc0000000006: 0000 [#1] SMP KASAN NOPTI [ 15.165691] KASAN: null-ptr-deref en el rango [0x0000000000000030-0x0000000000000037] [ 15.165691] CPU: 0 UID: 0 PID: 10 Comm: kworker/0:1 No contaminado 6.15.0 #31 PREEMPT(voluntario) [ 15.165691] Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS 1.16.2-debian-1.16.2-1 01/04/2014 [ 15.165691] RIP: 0010:apple_magic_backlight_report_set+0xbf/0x210 [ 15.165691] Rastreo de llamadas: [ 15.165691] [ 15.165691] apple_probe+0x571/0xa20 [ 15.165691] hid_device_probe+0x2e2/0x6f0 [ 15.165691] really_probe+0x1ca/0x5c0 [ 15.165691] __driver_probe_device+0x24f/0x310 [ 15.165691] driver_probe_device+0x4a/0xd0 [ 15.165691] __device_attach_driver+0x169/0x220 [ 15.165691] bus_for_each_drv+0x118/0x1b0 [ 15.165691] __device_attach+0x1d5/0x380 [ 15.165691] device_initial_probe+0x12/0x20 [ 15.165691] bus_probe_device+0x13d/0x180 [ 15.165691] device_add+0xd87/0x1510 [...] Para solucionar este problema debemos validar el número de campos que tienen los reportes de retroiluminación y energía y si no tienen el número de campos requerido entonces abandonar.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: núcleo: Reforzar s32ton() contra la conversión a 0 bits. Las pruebas realizadas por el fuzzer syzbot mostraron que el núcleo HID recibe una excepción de desplazamiento fuera de los límites al intentar convertir una cantidad de 32 bits a una cantidad de 0 bits. Idealmente, esto nunca debería ocurrir, pero existen dispositivos con errores y algunos podrían tener un campo de informe con un tamaño establecido en cero; no deberíamos rechazar el informe ni el dispositivo solo por eso. En su lugar, reforzar la rutina s32ton() para que devuelva un resultado razonable en lugar de bloquearse al llamarla con el número de bits establecido en 0, igual que ocurre con snto32().

Razón rechazado: ** Rechazo ** No use este número de candidato. Razón: este candidato fue emitido por error. Notas: Todas las referencias y descripciones en este candidato se han eliminado para evitar el uso accidental.

Se ha detectado una vulnerabilidad de seguridad en Scada-LTS 2.7.8.1. Este problema afecta a un procesamiento desconocido del archivo view_edit.shtm del componente SVG File Handler. Esta manipulación del argumento backgroundImageMP provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.

Se ha detectado una falla en el Linksys E5600 1.1.0.26. El elemento afectado es la función verify_gemtek_header del archivo checkFw.sh del componente Firmware Handler. La manipulación puede resultar en un algoritmo criptográfico arriesgado. El ataque puede ejecutarse en remoto. Requiere un alto nivel de complejidad. La explotabilidad se describe como difícil. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.