Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: watchdog: lenovo_se30_wdt: Se corrige la posible desreferencia de puntero nulo de devm_ioremap() en lenovo_se30_wdt_probe(). Devm_ioremap() devuelve NULL en caso de error. Actualmente, lenovo_se30_wdt_probe() no comprueba este caso, lo que resulta en una desreferencia de puntero nulo. Agregue la comprobación de NULL después de devm_ioremap() para evitar este problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: af_packet: mover packet_dev_mc del notificador fuera de la sección crítica de rcu Syzkaller informa el siguiente problema: ERROR: función inactiva llamada desde un contexto no válido en kernel/locking/mutex.c:578 __mutex_lock+0x106/0xe80 kernel/locking/mutex.c:746 team_change_rx_flags+0x38/0x220 drivers/net/team/team_core.c:1781 dev_change_rx_flags net/core/dev.c:9145 [inline] __dev_set_promiscuity+0x3f8/0x590 net/core/dev.c:9189 netif_set_promiscuity+0x50/0xe0 net/core/dev.c:9201 dev_set_promiscuity+0x126/0x260 net/core/dev_api.c:286 packet_dev_mc net/packet/af_packet.c:3698 [inline] packet_dev_mclist_delete net/packet/af_packet.c:3722 [inline] packet_notifier+0x292/0xa60 net/packet/af_packet.c:4247 notifier_call_chain+0x1b3/0x3e0 kernel/notifier.c:85 call_netdevice_notifiers_extack net/core/dev.c:2214 [inline] call_netdevice_notifiers net/core/dev.c:2228 [inline] unregister_netdevice_many_notify+0x15d8/0x2330 net/core/dev.c:11972 rtnl_delete_link net/core/rtnetlink.c:3522 [inline] rtnl_dellink+0x488/0x710 net/core/rtnetlink.c:3564 rtnetlink_rcv_msg+0x7cf/0xb70 net/core/rtnetlink.c:6955 netlink_rcv_skb+0x219/0x490 net/netlink/af_netlink.c:2534 Llamar a `PACKET_ADD_MEMBERSHIP` en un dispositivo con bloqueo de operaciones puede activar el notificador `NETDEV_UNREGISTER`, lo que puede requerir la desactivación del modo promiscuo o multimodo. Ambas operaciones requieren adquirir el bloqueo de la instancia netdev. Mueva la llamada a `packet_dev_mc` fuera de la sección crítica de RCU. Las modificaciones de `mclist` (añadir, eliminar, vaciar, anular registro) están protegidas por el RTNL, no por la RCU. La RCU solo protege `sklist` y sus `sks` asociados. La operación retardada en la entrada `mclist` permanece dentro del RTNL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: calipso: No llamar a funciones calipso para AF_INET sk. syzkaller reportó una referencia nula en txopt_get(). [0] El desplazamiento 0x70 correspondía a struct ipv6_txoptions en struct ipv6_pinfo, por lo que struct ipv6_pinfo era nulo. Sin embargo, esto nunca ocurre con sockets IPv6, ya que inet_sk(sk)->pinet6 siempre se configura en inet6_create(), lo que significa que el socket no era IPv6. La causa principal es la falta de validación en netlbl_conn_setattr(). netlbl_conn_setattr() cambia de rama según struct sockaddr.sa_family, que se pasa desde el espacio de usuario. Sin embargo, netlbl_conn_setattr() no comprueba si la familia de direcciones coincide con el socket. El syzkaller debe haber llamado a connect() para una dirección IPv6 en un socket IPv4. Tenemos una validación correcta en tcp_v[46]_connect(), pero security_socket_connect() se llama en la etapa anterior. Copiemos la validación a netlbl_conn_setattr(). [0]: Ups: fallo de protección general, probablemente para dirección no canónica 0xdffffc000000000e: 0000 [#1] PREEMPT SMP KASAN NOPTI KASAN: null-ptr-deref in range [0x0000000000000070-0x0000000000000077] CPU: 2 UID: 0 PID: 12928 Comm: syz.9.1677 Not tainted 6.12.0 #1 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 04/01/2014 RIP: 0010:txopt_get include/net/ipv6.h:390 [inline] RIP: 0010: Code: 02 00 00 49 8b ac 24 f8 02 00 00 e8 84 69 2a fd e8 ff 00 16 fd 48 8d 7d 70 48 b8 00 00 00 00 00 fc ff df 48 89 fa 48 c1 ea 03 <80> 3c 02 00 0f 85 53 02 00 00 48 8b 6d 70 48 85 ed 0f 84 ab 01 00 RSP: 0018:ffff88811b8afc48 EFLAGS: 00010212 RAX: dffffc0000000000 RBX: 1ffff11023715f8a RCX: ffffffff841ab00c RDX: 000000000000000e RSI: ffffc90007d9e000 RDI: 0000000000000070 RBP: 0000000000000000 R08: ffffed1023715f9d R09: ffffed1023715f9e R10: ffffed1023715f9d R11: 0000000000000003 R12: ffff888123075f00 R13: ffff88810245bd80 R14: ffff888113646780 R15: ffff888100578a80 FS: 00007f9019bd7640(0000) GS:ffff8882d2d00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007f901b927bac CR3: 0000000104788003 CR4: 0000000000770ef0 PKRU: 80000000 Call Trace: calipso_sock_setattr+0x56/0x80 net/netlabel/netlabel_calipso.c:557 netlbl_conn_setattr+0x10c/0x280 net/netlabel/netlabel_kapi.c:1177 selinux_netlbl_socket_connect_helper+0xd3/0x1b0 security/selinux/netlabel.c:569 selinux_netlbl_socket_connect_locked security/selinux/netlabel.c:597 [inline] selinux_netlbl_socket_connect+0xb6/0x100 security/selinux/netlabel.c:615 selinux_socket_connect+0x5f/0x80 security/selinux/hooks.c:4931 security_socket_connect+0x50/0xa0 security/security.c:4598 __sys_connect_file+0xa4/0x190 net/socket.c:2067 __sys_connect+0x12c/0x170 net/socket.c:2088 __do_sys_connect net/socket.c:2098 [inline] __se_sys_connect net/socket.c:2095 [inline] __x64_sys_connect+0x73/0xb0 net/socket.c:2095 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xaa/0x1b0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7f901b61a12d Code: 02 b8 ff ff ff ff c3 66 0f 1f 44 00 00 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 a8 ff ff ff f7 d8 64 89 01 48 RSP: 002b:00007f9019bd6fa8 EFLAGS: 00000246 ORIG_RAX: 000000000000002a RAX: ffffffffffffffda RBX: 00007f901b925fa0 RCX: 00007f901b61a12d RDX: 000000000000001c RSI: 0000200000000140 RDI: 0000000000000003 RBP: 00007f901b701505 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000246 R12: 0000000000000000 R13: 0000000000000000 R14: 00007f901b5b62a0 R15: 00007f9019bb7000 Módulos vinculados en:

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: phy: mscc: Se corrige la pérdida de memoria al usar el sellado de tiempo de un paso. Al ejecutar el sellado de tiempo de sincronización de un paso, el hardware está configurado para insertar la hora de transmisión en la trama, por lo que ya no hay razón para mantener el skb. Como en este caso, el hardware nunca generará una interrupción para indicar que la trama fue sellada, esta nunca se liberará. Se corrige liberando la trama en caso de sellado de tiempo de un paso.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: openvswitch: Se corrige el bucle muerto del análisis MPLS. El paquete MPLS inesperado podría no terminar en la última pila de etiquetas. Cuando hay muchas pilas, el valor del recuento de etiquetas se reinicia. Se produce un bucle muerto y, finalmente, se bloquea la CPU. seguimiento de pila: UBSAN: índice de matriz fuera de los límites en /build/linux-0Pa0xK/linux-5.15.0/net/openvswitch/flow.c:662:26 el índice -1 está fuera de rango para el tipo '__be32 [3]' CPU: 34 PID: 0 Comm: swapper/34 Kdump: cargado Tainted: G OE 5.15.0-121-generic #131-Ubuntu Nombre del hardware: Dell Inc. PowerEdge C6420/0JP9TF, BIOS 2.12.2 14/07/2021 Seguimiento de llamadas: show_stack+0x52/0x5c dump_stack_lvl+0x4a/0x63 dump_stack+0x10/0x16 ubsan_epilogue+0x9/0x36 __ubsan_handle_out_of_bounds.cold+0x44/0x49 key_extract_l3l4+0x82a/0x840 [openvswitch] ? kfree_skbmem+0x52/0xa0 key_extract+0x9c/0x2b0 [openvswitch] ovs_flow_key_extract+0x124/0x350 [openvswitch] ovs_vport_receive+0x61/0xd0 [openvswitch] ? kernel_init_free_pages.part.0+0x4a/0x70 ? get_page_from_freelist+0x353/0x540 netdev_port_receive+0xc4/0x180 [openvswitch] ? netdev_port_receive+0x180/0x180 [openvswitch] netdev_frame_hook+0x1f/0x40 [openvswitch] __netif_receive_skb_core.constprop.0+0x23a/0xf00 __netif_receive_skb_list_core+0xfa/0x240 netif_receive_skb_list_internal+0x18e/0x2a0 napi_complete_done+0x7a/0x1c0 bnxt_poll+0x155/0x1c0 [bnxt_en] __napi_poll+0x30/0x180 net_rx_action+0x126/0x280 ? bnxt_msix+0x67/0x80 [bnxt_en] handle_softirqs+0xda/0x2d0 irq_exit_rcu+0x96/0xc0 common_interrupt+0x8e/0xa0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: backlight: pm8941: Se ha añadido una comprobación de valores NULL en wled_configure(). Devm_kasprintf() devuelve NULL cuando falla la asignación de memoria. Actualmente, wled_configure() no realiza la comprobación en este caso, lo que provoca una desreferencia de puntero NULL. Se ha añadido una comprobación de valores NULL después de devm_kasprintf() para evitar este problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: soc: aspeed: Se ha añadido una comprobación de valores NULL en aspeed_lpc_enable_snoop(). Devm_kasprintf() devuelve NULL cuando falla la asignación de memoria. Actualmente, aspeed_lpc_enable_snoop() no comprueba este caso, lo que provoca una desreferencia de puntero NULL. Se ha añadido una comprobación de valores NULL después de devm_kasprintf() para evitar este problema. [arj: Corrección: Etiqueta para usar el asunto de 3772e5da4454]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dm: fix dm_blk_report_zones Si dm_get_live_table() devolvía NULL, dm_put_live_table() nunca se llamaba. Además, es posible que md->zone_revalidate_map cambie al llamar a esta función. Solo léalo una vez, para que siempre usemos el mismo valor. De lo contrario, podríamos perder una llamada a dm_put_live_table(). Finalmente, mientras md->zone_revalidate_map está configurado y un proceso está llamando a blk_revalidate_disk_zones() para configurar los recursos de emulación de anexión de zona, es posible que otro proceso, quizás activado por blkdev_report_zones_ioctl(), llame a dm_blk_report_zones(). Si blk_revalidate_disk_zones() falla, estos recursos pueden liberarse mientras el otro proceso aún los está usando, causando un error de uso después de liberación. blk_revalidate_disk_zones() solo se llamará al configurar inicialmente los recursos de emulación de anexión de zona, como al configurar una tabla dm-crypt zonificada por primera vez. Los intercambios de tabla posteriores no establecerán md->zone_revalidate_map ni llamarán a blk_revalidate_disk_zones(). Sin embargo, debe llamarse utilizando la nueva tabla (referenciada por md->zone_revalidate_map) y los nuevos límites de cola mientras el dispositivo DM esté suspendido. dm_blk_report_zones() necesita distinguir entre una llamada a blk_revalidate_disk_zones(), que debe permitir el uso de md->zone_revalidate_map para acceder a esta tabla aún no activada, y todas las demás llamadas a dm_blk_report_zones(), que no deben permitirse mientras el dispositivo esté suspendido y no puedan usar md->zone_revalidate_map, ya que los recursos de la zona podrían ser liberados por el proceso que llama a blk_revalidate_disk_zones(). Para solucionar esto, se debe rastrear el proceso que establece md->zone_revalidate_map en dm_revalidate_zones() y permitir que solo ese proceso lo use en dm_blk_report_zones().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dm: limitar el intercambio de tablas para dispositivos con conectores de escritura de zona. dm_revalidate_zones() solo permitía que los dispositivos nuevos o previamente no zonificados llamaran a blk_revalidate_disk_zones(). Si el dispositivo ya estaba zonificado, disk->nr_zones siempre sería igual a md->nr_zones, por lo que dm_revalidate_zones() regresaba sin realizar ningún trabajo. Esto haría que la configuración zonificada para el dispositivo no coincidiera con la nueva tabla. Si el dispositivo tenía recursos de conector de escritura de zona, podría encontrarse con errores como bdev_zone_is_seq() leyendo memoria no válida porque disk->conv_zones_bitmap tenía un tamaño incorrecto. Si el dispositivo no tiene ningún recurso de conector de escritura de zona, llamar a blk_revalidate_disk_zones() siempre actualizará correctamente el dispositivo. Si blk_revalidate_disk_zones() falla, aún puede sobrescribir o borrar el valor actual de disk->nr_zones. En este caso, DM debe restaurar el valor anterior de disk->nr_zones para que la configuración de zonas siga siendo la misma que la anterior. Si el dispositivo ya cuenta con recursos de complemento de escritura de zona, blk_revalidate_disk_zones() no los actualizará correctamente si se le solicita para realizar cambios arbitrarios en el dispositivo de zona. Dado que esta función no es muy necesaria, la solución más sencilla es impedir cualquier recarga de tabla que modifique la configuración de zonas en los dispositivos que ya cuentan con recursos de complemento de zona. En concreto, si un dispositivo ya tiene asignados recursos de complemento de zona, solo puede cambiar a otra tabla de zonas que también emule la anexión de zona. Además, no puede cambiar el tamaño del dispositivo ni el de la zona. Un dispositivo puede cambiar a un destino de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfs: Se corrige un error en el reintento de escritura debido al restablecimiento incorrecto del iterador de la subsolicitud. Se corrige el restablecimiento del iterador de la subsolicitud en netfs_retry_write_stream() para usar la función iterator-reset, ya que el iterador podría haberse acortado debido a un reintento anterior. En tal caso, la cantidad de datos que debe escribir la subsolicitud no es "subreq->len", sino "subreq->len - subreq->transferred". Sin esto, KASAN puede ver un error en iov_iter_revert(): ERROR: KASAN: slab-out-of-bounds en iov_iter_revert lib/iov_iter.c:633 [en línea] ERROR: KASAN: slab-out-of-bounds en iov_iter_revert+0x443/0x5a0 lib/iov_iter.c:611 Lectura de tamaño 4 en la dirección ffff88802912a0b8 por la tarea kworker/u32:7/1147 CPU: 1 UID: 0 PID: 1147 Comm: kworker/u32:7 No contaminado 6.15.0-rc6-syzkaller-00052-g9f35e33144ae #0 PREEMPT(full) Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 01/04/2014 Cola de trabajo: events_unbound netfs_write_collection_worker Rastreo de llamadas __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x116/0x1f0 lib/dump_stack.c:120 print_address_description mm/kasan/report.c:408 [inline] print_report+0xc3/0x670 mm/kasan/report.c:521 kasan_report+0xe0/0x110 mm/kasan/report.c:634 iov_iter_revert lib/iov_iter.c:633 [inline] iov_iter_revert+0x443/0x5a0 lib/iov_iter.c:611 netfs_retry_write_stream fs/netfs/write_retry.c:44 [inline] netfs_retry_writes+0x166d/0x1a50 fs/netfs/write_retry.c:231 netfs_collect_write_results fs/netfs/write_collect.c:352 [inline] netfs_write_collection_worker+0x23fd/0x3830 fs/netfs/write_collect.c:374 process_one_work+0x9cf/0x1b70 kernel/workqueue.c:3238 process_scheduled_works kernel/workqueue.c:3319 [inline] worker_thread+0x6c8/0xf10 kernel/workqueue.c:3400 kthread+0x3c2/0x780 kernel/kthread.c:464 ret_from_fork+0x45/0x80 arch/x86/kernel/process.c:153 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:245

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI/pwrctrl: Cancelar el trabajo de reescaneo pendiente al anular el registro Es posible activar el use-after-free aquí: (a) forzando a rescan_work_func() a tomar mucho tiempo y (b) utilizando un controlador pwrctrl que puede estar descargado por alguna razón Cancelar el trabajo pendiente para asegurar que esté terminado antes de que permitamos que se limpien nuestras estructuras de datos. [bhelgaas: tidy commit log]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: renesas_usbhs: Reordenar el manejo del reloj y la administración de energía en la sonda Reordenar la secuencia de inicialización en `usbhs_probe()` para habilitar PM en tiempo de ejecución antes de acceder a los registros, lo que evita posibles fallos debido a relojes no inicializados. Actualmente, en la ruta de la sonda, se accede a los registros antes de habilitar los relojes, lo que lleva a un aborto externo síncrono en el SoC RZ/V2H. El flujo de llamada problemático es el siguiente: usbhs_probe() usbhs_sys_clock_ctrl() usbhs_bset() usbhs_write() iowrite16() <-- Acceso a registros antes de habilitar los relojes Dado que `iowrite16()` se realiza sin garantizar que los relojes requeridos estén habilitados, esto puede llevar a errores de acceso. Para solucionar esto, habilite el tiempo de ejecución de PM temprano en la función de sonda y asegúrese de que los relojes se adquieran antes del acceso al registro, lo que evita fallos como el siguiente en RZ/V2H: [13.272640] Error interno: aborto externo síncrono: 0000000096000010 [#1] PREEMPT SMP [13.280814] Módulos vinculados: cec renesas_usbhs(+) drm_kms_helper fuse drm backlight ipv6 [13.289088] CPU: 1 UID: 0 PID: 195 Comm: (udev-worker) Not tainted 6.14.0-rc7+ #98 [13.296640] Nombre del hardware: Renesas RZ/V2H EVK Board based on r9a09g057h44 (DT) [13.303834] pstate: 60400005 (nZCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [13.310770] pc : usbhs_bset+0x14/0x4c [renesas_usbhs] [13.315831] lr : usbhs_probe+0x2e4/0x5ac [renesas_usbhs] [13.321138] sp : ffff8000827e3850 [13.324438] x29: ffff8000827e3860 x28: 0000000000000000 x27: ffff8000827e3ca0 [13.331554] x26: ffff8000827e3ba0 x25: ffff800081729668 x24: 0000000000000025 [13.338670] x23: ffff0000c0f08000 x22: 0000000000000000 x21: ffff0000c0f08010 [13.345783] x20: 0000000000000000 x19: ffff0000c3b52080 x18: 00000000ffffffff [13.352895] x17: 000000000000000 x16: 000000000000000 x15: ffff8000827e36ce [13.360009] x14: 00000000000003d7 x13: 000000000000003d7 x12: 0000000000000000 [13.367122] x11: 0000000000000000 x10: 0000000000000aa0 x9: ffff8000827e3750 [13.374235] x8: ffff0000c1850b00 x7: 0000000003826060 x6: 000000000000001c [13.381347] x5 : 000000030d5fcc00 x4 : ffff8000825c0000 x3 : 0000000000000000 [13.388459] x2 : 0000000000000400 x1 : 0000000000000000 x0 : ffff0000c3b52080 [13.395574] Rastreo de llamadas: [13.398013] usbhs_bset+0x14/0x4c [renesas_usbhs] (P) [13.403076] platform_probe+0x68/0xdc [13.406738] really_probe+0xbc/0x2c0 [13.410306] __driver_probe_device+0x78/0x120 [13.414653] driver_probe_device+0x3c/0x154 [13.418825] __driver_attach+0x90/0x1a0 [13.422647] bus_for_each_dev+0x7c/0xe0 [13.426470] driver_attach+0x24/0x30 [13.430032] bus_add_driver+0xe4/0x208 [13.433766] driver_register+0x68/0x130 [13.437587] __platform_driver_register+0x24/0x30 [13.442273] renesas_usbhs_driver_init+0x20/0x1000 [renesas_usbhs] [13.448450] do_one_initcall+0x60/0x1d4 [13.452276] do_init_module+0x54/0x1f8 [13.456014] load_module+0x1754/0x1c98 [13.459750] init_module_from_file+0x88/0xcc [13.464004] __arm64_sys_finit_module+0x1c4/0x328 [13.468689] invoke_syscall+0x48/0x104 [13.472426] el0_svc_common.constprop.0+0xc0/0xe0 [13.477113] do_el0_svc+0x1c/0x28 [13.480415] el0_svc+0x30/0xcc [13.483460] el0t_64_sync_handler+0x10c/0x138 [13.487800] el0t_64_sync+0x198/0x19c [13.491453] Code: 2a0103e1 12003c42 12003c63 8b010084 (79400084) [13.497522] ---[ fin de seguimiento 0000000000000000 ]---