Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/mempolicy: se corrige el error de migrants_to_node() suponiendo que hay al menos un VMA en un MM. Actualmente, suponemos que hay al menos un VMA en un MM, lo que no es cierto. Por lo tanto, podríamos terminar haciendo que find_vma() devuelva NULL, para luego desreferenciarlo. Por lo tanto, se gestiona correctamente el error de que find_vma() devuelva NULL. Esto corrige el informe: Ups: error de protección general, probablemente para la dirección no canónica 0xdffffc0000000000: 0000 [#1] PREEMPT SMP KASAN PTI KASAN: null-ptr-deref en el rango [0x000000000000000-0x0000000000000007] CPU: 1 UID: 0 PID: 6021 Comm: syz-executor284 No contaminado 6.12.0-rc7-syzkaller-00187-gf868cd251776 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 10/30/2024 RIP: 0010:migrate_to_node mm/mempolicy.c:1090 [en línea] RIP: 0010:do_migrate_pages+0x403/0x6f0 mm/mempolicy.c:1194 Código: ... RSP: 0018:ffffc9000375fd08 EFLAGS: 00010246 RAX: 000000000000000 RBX: ffffc9000375fd78 RCX: 000000000000000 RDX: ffff88807e171300 RSI: dffffc0000000000 RDI: ffff88803390c044 RBP: ffff88807e171428 R08: 0000000000000014 R09: fffffbfff2039ef1 R10: ffffffff901cf78f R11: 0000000000000000 R12: 0000000000000003 R13: ffffc9000375fe90 R14: ffffc9000375fe98 R15: ffffc9000375fdf8 FS: 00005555919e1380(0000) GS:ffff8880b8700000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00005555919e1ca8 CR3: 000000007f12a000 CR4: 00000000003526f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: kernel_migrate_pages+0x5b2/0x750 mm/mempolicy.c:1709 __do_sys_migrate_pages mm/mempolicy.c:1727 [en línea] __se_sys_migrate_pages mm/mempolicy.c:1723 [en línea] __x64_sys_migrate_pages+0x96/0x100 mm/mempolicy.c:1723 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xcd/0x250 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f [akpm@linux-foundation.org: agregar improbable()]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kcsan: Convertir report_filterlist_lock en un raw_spinlock Ran Xiaokai informa que con un kernel PREEMPT_RT habilitado para KCSAN, podemos ver símbolos como: | ERROR: función inactiva llamada desde un contexto no válido en kernel/locking/spinlock_rt.c:48 | in_atomic(): 1, irqs_disabled(): 1, non_block: 0, pid: 0, name: swapper/1 | preempt_count: 10002, esperado: 0 | Profundidad de anidación de RCU: 0, esperado: 0 | no hay bloqueos mantenidos por swapper/1/0. | Marca de evento irq: 156674 | hardirqs habilitados por última vez en (156673): [] do_idle+0x1f9/0x240 | hardirqs se deshabilitó por última vez en (156674): [] sysvec_apic_timer_interrupt+0x14/0xc0 | softirqs se habilita por última vez en (0): [] copy_process+0xfc7/0x4b60 | softirqs se deshabilitó por última vez en (0): [<000000000000000>] 0x0 | Preempción deshabilitada en: | [] paint_ptr+0x2a/0x90 | CPU: 1 UID: 0 PID: 0 Comm: swapper/1 No contaminado 6.11.0+ #3 | Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS rel-1.12.0-0-ga698c8995f-prebuilt.qemu.org 01/04/2014 | Seguimiento de llamadas: | | dump_stack_lvl+0x7e/0xc0 | dump_stack+0x1d/0x30 | __might_resched+0x1a2/0x270 | rt_spin_lock+0x68/0x170 | kcsan_skip_report_debugfs+0x43/0xe0 | print_report+0xb5/0x590 | kcsan_report_known_origin+0x1b1/0x1d0 | kcsan_setup_watchpoint+0x348/0x650 | En caso de detectarse una ejecución de datos, la lógica de informes de KCSAN comprueba si debe filtrar el informe. Esa lista está protegida por el spinlock report_filterlist_lock *no sin procesar* que puede estar inactivo en los núcleos RT. Dado que KCSAN puede informar ejecucións de datos en cualquier contexto, conviértalo en un spinlock sin procesar. Esto requiere tener cuidado con el momento de asignar memoria para la lista de filtros en sí, lo que se puede hacer a través de la interfaz debugfs de KCSAN. La modificación concurrente de la lista de filtros a través de debugfs debería ser poco frecuente: la estrategia elegida es preasignar memoria de manera optimista antes de la sección crítica y descartarla si no se utiliza.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: af_packet: evitar errores después de sock_init_data() en packet_create() Después de sock_init_data(), el objeto sk asignado se adjunta al objeto sock proporcionado. En caso de error, packet_create() libera el objeto sk dejando el puntero colgando en el objeto sock al regresar. Es posible que algún otro código intente usar este puntero y provoque un error de use-after-free.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: Se corrige el acceso fuera de los límites en 'dcn21_link_encoder_create' Se identificó un problema en la función dcn21_link_encoder_create donde podría ocurrir un acceso fuera de los límites cuando se usó el índice hpd_source para hacer referencia a la matriz link_enc_hpd_regs. Esta matriz tiene un tamaño fijo y el índice no se estaba verificando con los límites de la matriz antes de acceder a ella. Esta corrección agrega una verificación condicional para garantizar que el índice hpd_source esté dentro del rango válido de la matriz link_enc_hpd_regs. Si el índice está fuera de los límites, la función ahora devuelve NULL para evitar un comportamiento indefinido. Referencias: [ 65.920507] ------------[ cortar aquí ]------------ [ 65.920510] UBSAN: array-index-out-of-bounds en drivers/gpu/drm/amd/amdgpu/../display/dc/resource/dcn21/dcn21_resource.c:1312:29 [ 65.920519] el índice 7 está fuera de rango para el tipo 'dcn10_link_enc_hpd_registers [5]' [ 65.920523] CPU: 3 PID: 1178 Comm: modprobe Tainted: G OE 6.8.0-cleanershaderfeatureresetasdntipmi200nv2132 #13 [ 65.920525] Nombre del hardware: AMD Majolica-RN/Majolica-RN, BIOS WMJ0429N_Semanal_20_04_2 29/04/2020 [ 65.920527] Seguimiento de llamadas: [ 65.920529] [ 65.920532] dump_stack_lvl+0x48/0x70 [ 65.920541] dump_stack+0x10/0x20 [ 65.920543] __ubsan_handle_out_of_bounds+0xa2/0xe0 [ 65.920549] dcn21_link_encoder_create+0xd9/0x140 [amdgpu] [ 65.921009] link_create+0x6d3/0xed0 [amdgpu] [ 65.921355] dmi_matches+0xa0/0x220 [65.922004] amdgpu_dm_init+0x2b6/0x2c90 [amdgpu] [65.922342] ? console_unlock+0x77/0x120 [65.922348] ? dev_printk_emit+0x86/0xb0 [ 65.922354] dm_hw_init+0x15/0x40 [amdgpu] [ 65.922686] amdgpu_device_init+0x26a8/0x33a0 [amdgpu] [ 65.922921] amdgpu_driver_load_kms+0x1b/0xa0 [amdgpu] [ 65.923087] amdgpu_pci_probe+0x1b7/0x630 [amdgpu] [ 65.923087] local_pci_probe+0x4b/0xb0 [ 65.923087] pci_device_probe+0xc8/0x280 [ 65.923087] realmente_probe+0x187/0x300 [ 65.923087] __driver_probe_device+0x85/0x130 [ 65.923087] driver_probe_device+0x24/0x110 [ 65.923087] __driver_attach+0xac/0x1d0 [ 65.923087] ? __pfx___driver_attach+0x10/0x10 [ 65.923087] bus_para_cada_dispositivo+0x7d/0xd0 [ 65.923087] driver_attach+0x1e/0x30 [ 65.923087] bus_add_driver+0xf2/0x200 [ 65.923087] driver_register+0x64/0x130 [ 65.923087] ? __pfx_amdgpu_init+0x10/0x10 [amdgpu] [ 65.923087] __pci_register_driver+0x61/0x70 [ 65.923087] amdgpu_init+0x7d/0xff0 [amdgpu] [ 65.923087] hacer_una_llamada_init+0x49/0x310 [ 65.923087] ? kmalloc_trace+0x136/0x360 [ 65.923087] hacer_init_module+0x6a/0x270 [ 65.923087] cargar_módulo+0x1fce/0x23a0 [ 65.923087] iniciar_módulo_desde_archivo+0x9c/0xe0 [ 65.923087] ? módulo_de_inicio_desde_archivo+0x9c/0xe0 [ 65.923087] módulo_de_inicio_idempotente+0x179/0x230 [ 65.923087] módulo_de_finición_del_sistema_x64+0x5d/0xa0 [ 65.923087] llamada_al_sistema_64+0x76/0x120 [ 65.923087] llamada_al_sistema_64_después_de_hwframe+0x6e/0x76 [ 65.923087] RIP: 0033:0x7f2d80f1e88d [ 65.923087] Código: 5b 41 5c c3 66 0f 1f 84 00 00 00 00 00 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d 73 b5 0f 00 f7 d8 64 89 01 48 [ 65.923087] RSP: 002b:00007ffc7bc1aa78 EFLAGS: 00000246 ORIG_RAX: 0000000000000139 [ 65.923087] RAX: ffffffffffffffda RBX: 0000564c9c1db130 RCX: 00007f2d80f1e88d [ 65.923087] RDX: 0000000000000000 RSI: 0000564c9c1e5480 RDI: 000000000000000f [ 65.923087] RBP: 0000000000040000 R08: 0000000000000000 R09: 0000000000000002 [ 65.923087] R10: 000000000000000f R11: 0000000000000246 R12: 0000564c9c1e5480 [ 65.923087] R13: 0000564c9c1db260 R14: 0000000000000000 R15: 0000564c9c1e54b0 [ 65.923087] [ 65.923927] ---[ fin del seguimiento ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtw88: use ieee80211_purge_tx_queue() para purgar TX skb Al eliminar módulos del kernel mediante: rmmod rtw88_8723cs rtw88_8703b rtw88_8723x rtw88_sdio rtw88_core El controlador usa skb_queue_purge() para purgar TX skb, pero no informa el estado de la tx, lo que provoca la advertencia "¡Tiene marcos de reconocimiento pendientes!". Use ieee80211_purge_tx_queue() para corregir esto. Dado que ieee80211_purge_tx_queue() no toma bloqueos, para evitar ejecucións entre el trabajo de TX y la cola de purga de TX, vacíe y destruya el trabajo de TX con anticipación. wlan0: desautenticando desde aa:f5:fd:60:4c:a8 por elección local (Razón: 3=DEAUTH_LEAVING) ------------[ cortar aquí ]------------ ¡Hay marcos de reconocimiento pendientes! ADVERTENCIA: CPU: 3 PID: 9232 en net/mac80211/main.c:1691 ieee80211_free_ack_frame+0x5c/0x90 [mac80211] CPU: 3 PID: 9232 Comm: rmmod Contaminado: GC 6.10.1-200.fc40.aarch64 #1 Nombre del hardware: pine64 Pine64 PinePhone Braveheart (1.1)/Pine64 PinePhone Braveheart (1.1), BIOS 2024.01 01/01/2024 pstate: 60400005 (nZCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : ieee80211_free_ack_frame+0x5c/0x90 [mac80211] lr : ieee80211_free_ack_frame+0x5c/0x90 [mac80211] sp : ffff80008c1b37b0 x29: ffff80008c1b37b0 x28: ffff000003be8000 x27: 0000000000000000 x26: 0000000000000000 x25: ffff000003dc14b8 x24: ffff80008c1b37d0 x23: ffff000000ff9f80 x22: 0000000000000000 x21: 000000007fffffff x20: ffff80007c7e93d8 x19: ffff00006e66f400 x18: 0000000000000000 x17: ffff7ffffd2b3000 x16: ffff800083fc0000 x15: 0000000000000000 x14: 0000000000000000 x13: 2173656d61726620 x12: 6b636120676e6964 x11: 000000000000000 x10: 000000000000005d x9: ffff8000802af2b0 x8: ffff80008c1b3430 x7: 00000000000000001 x6 : 0000000000000001 x5 : 0000000000000000 x4 : 0000000000000000 x3 : 0000000000000000 x2 : 0000000000000000 x1 : 0000000000000000 x0 : ffff000003be8000 Rastreo de llamadas: ieee80211_free_ack_frame+0x5c/0x90 [mac80211] idr_for_each+0x74/0x110 ieee80211_free_hw+0x44/0xe8 [mac80211] rtw_sdio_remove+0x9c/0xc0 [rtw88_sdio] sdio_bus_remove+0x44/0x180 device_remove+0x54/0x90 device_release_driver_internal+0x1d4/0x238 driver_detach+0x54/0xc0 bus_remove_driver+0x78/0x108 driver_unregister+0x38/0x78 sdio_unregister_driver+0x2c/0x40 rtw_8723cs_driver_exit+0x18/0x1000 [rtw88_8723cs] __do_sys_delete_module.isra.0+0x190/0x338 __arm64_sys_delete_module+0x1c/0x30 invocar_llamada_al_sistema+0x74/0x100 el0_svc_common.constprop.0+0x48/0xf0 do_el0_svc+0x24/0x38 el0_svc+0x3c/0x158 el0t_64_sync_handler+0x120/0x138 el0t_64_sync+0x194/0x198 ---[ fin de seguimiento 0000000000000000 ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: jfs: arreglo de array-index-out-of-bounds en dtReadFirst El valor de stbl a veces puede estar fuera de los límites debido a un sistema de archivos defectuoso. Se agregó una verificación con el retorno apropiado del código de error en ese caso.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: jfs: se corrige el error shift-out-of-bounds en dbSplit. Cuando dmt_budmin es menor que cero, provoca errores en las etapas posteriores. Se agregó una verificación para devolver un error de antemano en dbAllocCtl.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: inet6: no deje un puntero sk colgando en inet6_create() sock_init_data() adjunta el puntero sk asignado al objeto sock proporcionado. Si inet6_create() falla más tarde, se libera el objeto sk, pero el objeto sock conserva el puntero sk colgando, lo que puede provocar un use-after-free más adelante. Borre el puntero sk sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: inet: no deje un puntero sk colgando en inet_create() sock_init_data() adjunta el objeto sk asignado al objeto sock proporcionado. Si inet_create() falla más tarde, el objeto sk se libera, pero el objeto sock conserva el puntero colgando, lo que puede crear un use-after-free más tarde. Borre el puntero sk en el objeto sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ieee802154: no deje un puntero sk colgando en ieee802154_create() sock_init_data() adjunta el objeto sk asignado al objeto sock proporcionado. Si ieee802154_create() falla más tarde, el objeto sk asignado se libera, pero el puntero colgando permanece en el objeto sock proporcionado, lo que puede permitir el use-after-free. Borre el puntero sk en el objeto sock en caso de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: af_can: no deje un puntero sk colgando en can_create() En caso de error, can_create() libera el objeto sk asignado, pero sock_init_data() ya lo ha adjuntado al objeto sock proporcionado. Esto dejará un puntero sk colgando en el objeto sock y puede provocar un uso posterior a la liberación más adelante.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: RFCOMM: evitar dejar el puntero sk colgando en rfcomm_sock_alloc() bt_sock_alloc() adjunta el objeto sk asignado al objeto sock proporcionado. Si rfcomm_dlc_alloc() falla, liberamos el objeto sk, pero dejamos el puntero colgando en el objeto sock, lo que puede provocar un use-after-free. Solucione esto intercambiando las llamadas a bt_sock_alloc() y rfcomm_dlc_alloc().