Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdkfd: No llame a mmput desde la devolución de llamada del notificador MMU Si el proceso está saliendo, el mmput dentro de la devolución de llamada del notificador mmu de compactd o fork o numa balancing podría liberar la última referencia de la estructura mm para llamar a exit_mmap y free_pgtable, esto desencadena un bloqueo con el siguiente backtrace. El bloqueo perderá el proceso kfd ya que no se llama a la liberación del notificador mmu y causa fugas de VRAM. La solución es tomar la referencia mm mmget_non_zero al agregar prange a la lista diferida para emparejar con mmput en el trabajo de la lista diferida. Si prange se divide y se agrega a la lista pchild, pchild work_item.mm no se usa, así que elimine el parámetro mm de svm_range_unmap_split y svm_range_add_child. Call Trace: __schedule+0x1c3/0x550 schedule+0x46/0xb0 rwsem_down_write_slowpath+0x24b/0x4c0 unlink_anon_vmas+0xb1/0x1c0 free_pgtables+0xa9/0x130 exit_mmap+0xbc/0x1a0 mmput+0x5a/0x140 svm_range_cpu_invalidate_pagetables+0x2b/0x40 [amdgpu] mn_itree_invalidate+0x72/0xc0 __mmu_notifier_invalidate_range_start+0x48/0x60 try_to_unmap_one+0x10fa/0x1400 rmap_walk_anon+0x196/0x460 try_to_unmap+0xbb/0x210 migrate_page_unmap+0x54d/0x7e0 migrate_pages_batch+0x1c3/0xae0 migrate_pages_sync+0x98/0x240 migrate_pages+0x25c/0x520 compact_zone+0x29d/0x590 compact_zone_order+0xb6/0xf0 try_to_compact_pages+0xbe/0x220 __alloc_pages_direct_compact+0x96/0x1a0 __alloc_pages_slowpath+0x410/0x930 __alloc_pages_nodemask+0x3a9/0x3e0 do_huge_pmd_anonymous_page+0xd7/0x3e0 __handle_mm_fault+0x5e3/0x5f0 handle_mm_fault+0xf7/0x2e0 hmm_vma_fault.isra.0+0x4d/0xa0 walk_pmd_range.isra.0+0xa8/0x310 walk_pud_range+0x167/0x240 walk_pgd_range+0x55/0x100 __walk_page_range+0x87/0x90 walk_page_range+0xf6/0x160 hmm_range_fault+0x4f/0x90 amdgpu_hmm_range_get_pages+0x123/0x230 [amdgpu] amdgpu_ttm_tt_get_user_pages+0xb1/0x150 [amdgpu] init_user_pages+0xb1/0x2a0 [amdgpu] amdgpu_amdkfd_gpuvm_alloc_memory_of_gpu+0x543/0x7d0 [amdgpu] kfd_ioctl_alloc_memory_of_gpu+0x24c/0x4e0 [amdgpu] kfd_ioctl+0x29d/0x500 [amdgpu] (seleccionado de el commit a29e067bd38946f752b0ef855f3dfff87e77bec7)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/CPU/AMD: Desactivar INVLPGB en Zen2 AMD Cyan Skillfish (Familia 17h, Modelo 47h, Stepping 0h) presenta un problema que provoca errores y pánicos del sistema al realizar el vaciado de TLB con INVLPGB. Sin embargo, el problema radica en que esa máquina tiene un CPUID mal configurado y no debería informar el bit INVLPGB. Por lo tanto, elimine la representación del indicador en el kernel para evitar confusiones. [bp: Masaje].

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/damon: corrección de división por cero en damon_get_intervals_score() La implementación actual permite tener regiones de tamaño cero sin razones especiales, pero damon_get_intervals_score() se bloquea por división por cero cuando el tamaño de la región es cero. [ 29.403950] Oops: error de división: 0000 [#1] SMP NOPTI Este parche corrige el error, pero no deshabilita las regiones de tamaño cero para mantener la compatibilidad con versiones anteriores, ya que deshabilitar las regiones de tamaño cero podría ser un cambio importante para algunos usuarios. Además, el mismo bloqueo puede ocurrir cuando intervals_goal.access_bp es cero, por lo que esto también debería corregirse en los árboles estables.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/imagination: Se corrige el fallo del kernel al reiniciar la GPU La secuencia de reinicio completo de la GPU llama a pm_runtime_force_suspend() y pm_runtime_force_resume(), que según su documentación solo se deben usar durante las transiciones de PM de todo el sistema a estados de suspensión. Sin embargo, el problema principal es que, dependiendo de algún estado interno de PM en tiempo de ejecución, como se ve en pm_runtime_force_suspend() (si el recuento de uso es <= 1), pm_runtime_force_resume() podría no reanudar el dispositivo a menos que sea necesario. Si eso sucede, no se llama a la devolución de llamada de reanudación de PM en tiempo de ejecución pvr_power_device_resume(), no se vuelven a habilitar los relojes de la GPU y el kernel se bloquea en el siguiente intento de acceder a los registros de la GPU como parte de la secuencia de encendido. Reemplace las llamadas a pm_runtime_force_suspend() y pm_runtime_force_resume() con llamadas directas a las devoluciones de llamadas PM de tiempo de ejecución del controlador, pvr_power_device_suspend() y pvr_power_device_resume(), para garantizar que los relojes se vuelvan a habilitar y evitar el bloqueo del kernel.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: qcom: msm: marcar ciertos pines como inválidos para interrupciones En algunas plataformas, el pin UFS-reset no tiene lógica de interrupción en TLMM pero sin embargo está registrado como un GPIO en el kernel. Esto permite que el espacio de usuario active un BUG() en el controlador pinctrl-msm ejecutando, por ejemplo: `gpiomon -c 0 113` en RB2. El culpable exacto es solicitar pines cuyo ajuste intr_detection_width no es 1 o 2 para interrupciones. Esto alcanza un BUG() en msm_gpio_irq_set_type(). Potencialmente, bloquear el kernel debido a una solicitud inválida del espacio de usuario no es óptimo, así que revisemos los pines y marquemos aquellos que fallarían la verificación como inválidos para el chip irq ya que ni siquiera deberíamos registrarlos como irq disponibles. Esta función se puede extender si determinamos que hay más casos especiales como este.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/sched: Incremento del recuento de trabajos antes de intercambiar la cola de cola de spsc. Existe una pequeña competencia entre spsc_queue_push y el trabajador de ejecución de trabajos, en la que spsc_queue_push puede devolver un resultado no-first mientras el trabajador de ejecución de trabajos ya está inactivo debido a que el recuento de trabajos es cero. Si se produce esta competencia, se detiene la programación de trabajos, lo que provoca bloqueos mientras se espera en las barreras DMA del trabajo. Para solucionar esta competencia, incremente el recuento de trabajos antes de agregarlos a la cola de SPSC. Esta competencia se observó en una compilación drm-tip 6.16-rc1 con el controlador Xe en un caso de prueba SVM.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: zd1211rw: Se corrige una posible desreferencia de puntero NULL en zd_mac_tx_to_dev(). Existe una posible desreferencia de puntero NULL en zd_mac_tx_to_dev(). Por ejemplo, es posible lo siguiente: T0 T1 zd_mac_tx_to_dev() /* len == skb_queue_len(q) */ while (len > ZD_MAC_MAX_ACK_WAITERS) { filter_ack() spin_lock_irqsave(&q->lock, flags); /* position == skb_queue_len(q) */ for (i=1; itype == NL80211_IFTYPE_AP) skb = __skb_dequeue(q); spin_unlock_irqrestore(&q->lock, flags); skb_dequeue() -> NULL. Dado que hay una pequeña diferencia entre la comprobación de la longitud de la cola de skb y su desencolado incondicional en zd_mac_tx_to_dev(), skb_dequeue() puede devolver NULL. A continuación, el puntero se pasa a zd_mac_tx_status(), donde se desreferencia. Para evitar posibles desreferencias de punteros NULL debido a situaciones como la anterior, compruebe que skb no sea NULL antes de pasarlo a zd_mac_tx_status(). Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: prevenir ataques A-MSDU en redes de malla Este parche es una mitigación para prevenir la vulnerabilidad de suplantación de A-MSDU para redes de malla. La actualización inicial del estándar IEEE 802.11, en respuesta a los FragAttacks, pasó por alto este caso (CVE-2025-27558). Puede considerarse una variante de CVE-2020-24588 pero para redes de malla. Este parche intenta detectar si un adversario convirtió una MSDU estándar en una A-MSDU. Esto se hace analizando una A-MSDU recibida como una MSDU estándar, calculando la longitud del encabezado Mesh Control y viendo si los 6 bytes después de este encabezado equivalen al comienzo de un encabezado rfc1042. Si son iguales, esto es un fuerte indicio de un intento de ataque en curso. Esta defensa se probó con mac80211_hwsim contra una red en malla que utiliza un campo de extensión de dirección de malla vacío (es decir, cuando se utilizan cuatro direcciones) y un campo de extensión de dirección de malla de 12 bytes (es decir, cuando se utilizan seis direcciones). También se probó la funcionalidad de las MSDU normales y las A-MSDU, y se confirmó su funcionamiento, tanto al utilizar un campo de extensión de dirección de malla vacío como al utilizar un campo de extensión de dirección de malla de 12 bytes. También se probó con mac80211_hwsim que los ataques A-MSDU en redes no en malla se siguen detectando y previniendo. Tenga en cuenta que la vulnerabilidad que se está reparando y la defensa que se está implementando también se analizaron en el siguiente documento y en la siguiente presentación IEEE 802.11: https://papers.mathyvanhoef.com/wisec2025.pdf https://mentor.ieee.org/802.11/dcn/25/11-25-0949-00-000m-a-msdu-mesh-spoof-protection.docx

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kasan: eliminar kasan_find_vm_area() para evitar un posible bloqueo. No se pudo llamar a find_vm_area() en atomic_context. Si se llama a find_vm_area() para informar sobre el área de la máquina virtual, kasan puede provocar un bloqueo como: CPU0 CPU1 vmalloc(); alloc_vmap_area(); spin_lock(&vn->busy.lock) spin_lock_bh(&some_lock); spin_lock(&some_lock); kasan_report(); print_report(); print_address_description(); kasan_find_vm_area(); find_vm_area(); spin_lock(&vn->busy.lock) // ¡Bloqueo! Para evitar un posible bloqueo mientras kasan informa, elimine kasan_find_vm_area().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe/pf: Borrar todas las páginas LMTT al asignar. Nuestros objetos de búfer LMEM no se borran por defecto al asignar, y durante el aprovisionamiento de VF solo configuramos PTE LMTT para el rango LMEM realmente aprovisionado. Sin embargo, más allá de ese rango válido, podríamos dejar datos obsoletos que podrían apuntar a otras asignaciones de VF o incluso a las páginas PF. Borre explícitamente todas las páginas LMTT nuevas para evitar el riesgo de que una VF maliciosa intente explotar esa brecha. Mientras esté disponible, agregue aserciones para detectar cualquier sobrescritura de PTE no deseada y trazas de depuración de bajo nivel para rastrear el ciclo de vida de las PT LMTT. (Seleccionado de el commit 3fae6918a3e27cce20ded2551f863fb05d4bef8d)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: lib/alloc_tag: no adquiere un bloqueo inexistente en alloc_tag_top_users() alloc_tag_top_users() intenta bloquear alloc_tag_cttype->mod_lock incluso cuando alloc_tag_cttype no está asignado porque: 1) el etiquetado de asignación está deshabilitado porque el perfil de memoria está deshabilitado (!alloc_tag_cttype) 2) el etiquetado de asignación está habilitado, pero aún no se ha inicializado (!alloc_tag_cttype) 3) el etiquetado de asignación está habilitado, pero falló la inicialización (!alloc_tag_cttype o IS_ERR(alloc_tag_cttype)) En todos los casos, alloc_tag_cttype no está asignado y, por lo tanto, alloc_tag_top_users() no debe intentar adquirir el semáforo. Esto genera un bloqueo por un error de asignación de memoria al intentar adquirir un semáforo inexistente: Oops: error de protección general, probablemente para una dirección no canónica 0xdffffc000000001b: 0000 [#3] SMP KASAN NOPTI KASAN: null-ptr-deref en el rango [0x0000000000000d8-0x00000000000000df] CPU: 2 UID: 0 PID: 1 Comm: systemd Tainted: GD 6.16.0-rc2 #1 VOLUNTARY Tainted: [D]=DIE Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.2-debian-1.16.2-1 04/01/2014 RIP: 0010:down_read_trylock+0xaa/0x3b0 Código: d0 7c 08 84 d2 0f 85 a0 02 00 00 8b 0d df 31 dd 04 85 c9 75 29 48 b8 00 00 00 00 00 fc ff df 48 8d 6b 68 48 89 ea 48 c1 ea 03 <80> 3c 02 00 0f 85 88 02 00 00 48 3b 5b 68 0f 85 53 01 00 00 65 ff RSP: 0000:ffff8881002ce9b8 EFLAGS: 00010016 RAX: dffffc0000000000 RBX: 0000000000000070 RCX: 0000000000000000 RDX: 0000000000000001b RSI: 000000000000000a RDI: 0000000000000070 RBP: 00000000000000d8 R08: 0000000000000001 R09: ffffed107dde49d1 R10: ffff8883eef24e8b R11: ffff8881002cec20 R12: 1ffff11020059d37 R13: 00000000003fff7b R14: ffff8881002cec20 R15: dffffc0000000000 FS: 00007f963f21d940(0000) GS:ffff888458ca6000(0000) knlGS:000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f963f5edf71 CR3: 000000010672c000 CR4: 0000000000350ef0 Rastreo de llamadas: codetag_trylock_module_list+0xd/0x20 Como señala David Wang, este problema se volvió más fácil de activar después de el commit 780138b12381 ("alloc_tag: verificar mem_profiling_support en alloc_tag_init"). Antes de el commit, el problema solo ocurría cuando no se asignaba ni inicializaba alloc_tag_cttype o si fallaba la asignación de memoria antes de llamar a alloc_tag_init(). Después de el commit, se puede activar fácilmente cuando el perfilado de memoria se compila, pero se deshabilita al arrancar. Para determinar correctamente si se ha llamado a alloc_tag_init() y si se han inicializado sus estructuras de datos, verifique que alloc_tag_cttype sea un puntero válido antes de adquirir el semáforo. Si la variable es NULL o un valor de error, no se ha inicializado correctamente. En tal caso, simplemente omita este paso y no intente adquirir el semáforo. [harry.yoo@oracle.com: v3]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rxrpc: Se corrige un error debido a la inexistencia de la estructura de registro de preasignación. Si se abre y enlaza un socket de servicio AF_RXRPC, pero las llamadas están preasignadas, rxrpc_alloc_incoming_call() generará un error porque la estructura rxrpc_backlog no se asigna hasta que se realiza la primera preasignación. Se soluciona este problema devolviendo NULL desde rxrpc_alloc_incoming_call() si no existe la estructura de registro de preasignación. Esto provocará la interrupción de la llamada entrante.