Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: LoongArch: cpuinfo: Se corrige una advertencia para CONFIG_CPUMASK_OFFSTACK. Al seleccionar CONFIG_CPUMASK_OFFSTACK y CONFIG_DEBUG_PER_CPU_MAPS, cpu_max_bits_warn() genera una advertencia de tiempo de ejecución similar a la que se muestra a continuación mientras se muestra /proc/cpuinfo. Se corrige usando nr_cpu_ids (el límite de tiempo de ejecución) en lugar de NR_CPUS para iterar las CPU. [ 3.052463] ------------[ cortar aquí ]------------ [ 3.059679] ADVERTENCIA: CPU: 3 PID: 1 en include/linux/cpumask.h:108 show_cpuinfo+0x5e8/0x5f0 [ 3.070072] Módulos vinculados: efivarfs autofs4 [ 3.076257] CPU: 0 PID: 1 Comm: systemd No contaminado 5.19-rc5+ #1052 [ 3.084034] Nombre del hardware: Loongson Loongson-3A5000-7A1000-1w-V0.1-CRB/Loongson-LS3A5000-7A1000-1w-EVB-V1.21, BIOS Loongson-UDK2018-V2.0.04082-beta7 04/27 [3.099465] Pila: 9000000100157b08 9000000000f18530 9000000000cf846c 9000000100154000 [3.109127] 9000000100157a50 0000000000000000 9000000100157a58 9000000000ef7430 [3.118774] 90000001001578e8 000000000000040 0000000000000020 ffffffffffffffff [ 3.128412] 0000000000aaaaaa 1ab25f00eec96a37 900000010021de80 900000000101c890 [ 3.138056] 000000000000000 0000000000000000 000000000000000 00000000000000 00000000000aaaaaa [ 3.147711] ffff8000339dc220 000000000000001 0000000006ab4000 0000000000000000 [ 3.157364] 900000000101c998 0000000000000004 9000000000ef7430 0000000000000000 [ 3.167012] 0000000000000009 000000000000006c 0000000000000000 000000000000000 [ 3.176641] 9000000000d3de08 9000000001639390 90000000002086d8 00007ffff0080286 [ 3.186260] 00000000000000b0 0000000000000004 0000000000000000 0000000000071c1c [ 3.195868] ... [ 3.199917] Rastreo de llamadas: [ 3.203941] [<90000000002086d8>] show_stack+0x38/0x14c [ 3.210666] [<9000000000cf846c>] dump_stack_lvl+0x60/0x88 [ 3.217625] [<900000000023d268>] __warn+0xd0/0x100 [ 3.223958] [<9000000000cf3c90>] warn_slowpath_fmt+0x7c/0xcc [ 3.231150] [<9000000000210220>] show_cpuinfo+0x5e8/0x5f0 [ 3.238080] [<90000000004f578c>] seq_read_iter+0x354/0x4b4 [ 3.245098] [<90000000004c2e90>] new_sync_read+0x17c/0x1c4 [ 3.252114] [<90000000004c5174>] vfs_read+0x138/0x1d0 [ 3.258694] [<90000000004c55f8>] ksys_read+0x70/0x100 [ 3.265265] [<9000000000cfde9c>] do_syscall+0x7c/0x94 [ 3.271820] [<9000000000202fe4>] handle_syscall+0xc4/0x160 [ 3.281824] ---[ fin de seguimiento 8b484262b4b8c24c ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tty: vt: al inicializar el búfer de pantalla Unicode, syzbot reporta una fuga de información del kernel en vcs_read() [1], ya que el búfer se puede leer inmediatamente después de la operación de cambio de tamaño. Inicialice el búfer con kzalloc(). ---------- #include #include #include #include int main(int argc, char *argv[]) { struct fb_var_screeninfo var = { }; const int fb_fd = open("/dev/fb0", 3); ioctl(fb_fd, FBIOGET_VSCREENINFO, &var); var.yres = 0x21; ioctl(fb_fd, FBIOPUT_VSCREENINFO, &var); return read(open("/dev/vcsu", O_RDONLY), &var, sizeof(var)) == -1; } ----------

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/fb-helper: Arregla el acceso fuera de los límites Recorta el rango de memoria al tamaño del búfer de pantalla para evitar el acceso fuera de los límites en el manejo de daños de E/S diferidas de fbdev. La E/S diferida de fbdev solo puede rastrear páginas. A partir del rango de páginas, el controlador de daños calcula el rectángulo de recorte para la actualización de la pantalla. Si el búfer de pantalla de fbdev termina cerca del principio de una página, esa página podría contener más líneas de exploración. El controlador de daños rastrearía entonces estas líneas de exploración inexistentes como sucias y provocaría un acceso fuera de los límites durante la actualización de la pantalla. Por lo tanto, recorta el rango máximo de memoria al tamaño del búfer de pantalla. Mientras lo haces, cambia el nombre de las variables min/max a min_off/max_off en drm_fb_helper_deferred_io(). Esto evita confusiones con las macros del mismo nombre.

Motivo del rechazo: esta autoridad de numeración CVE ha rechazado o retirado esta ID CVE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: Se corrige el Use-After-Free de linkwatch al desconectar. usbnet usa la función usbnet_deferred_kevent() para ejecutar tareas que podrían estar en estado de suspensión. Al desconectar, la finalización de la tarea se esperaba originalmente en ->ndo_stop(). Sin embargo, en 2003, esto se trasladó a ->disconnect() mediante el commit histórica "[PATCH] USB: usbnet, previene el bloqueo rtnl exótico": https://git.kernel.org/tglx/history/c/0f138bbfd83c. Este cambio se realizó porque, en aquel entonces, la implementación de la cola de trabajo del kernel no permitía esperar una sola tarea. Se debía esperar la finalización de *todas* las tareas llamando a flush_scheduled_work(), lo que podía provocar un bloqueo al esperar usbnet_deferred_kevent() con rtnl_mutex en ->ndo_stop(). El commit resolvió un problema pero creó otro: Provoca un uso después de la liberación en los controladores Ethernet USB aqc111.c, asix_devices.c, ax88179_178a.c, ch9200.c y smsc75xx.c: * Si los controladores reciben una interrupción de cambio de enlace inmediatamente antes de la desconexión, generan EVENT_LINK_RESET en su devolución de llamada ->status() (no inactiva) y programan usbnet_deferred_kevent(). * usbnet_deferred_kevent() invoca la devolución de llamada ->link_reset() del controlador, que llama a netif_carrier_{on,off}(). * Eso a su vez programa el trabajo linkwatch_event(). Dado que usbnet_deferred_kevent() se espera después de unregister_netdev(), netif_carrier_{on,off}() puede operar en un netdev no registrado y linkwatch_event() puede ejecutarse después de free_netdev(), lo que provoca un error de uso después de la liberación. En 2010, se modificó la configuración de usbnet para que solo esperara una instancia de usbnet_deferred_kevent() en lugar de *todo* el trabajo mediante el commit 23f333a2bfaf ("drivers/net: no usar flush_scheduled_work()"). Lamentablemente, el commit no retrasó la espera a ->ndo_stop(). Se corrigió esta omisión de una vez.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Corrección de la lectura de Use-After-Free de KASAN en compute_effective_progs Syzbot encontró un error de Use-After-Free en compute_effective_progs(). El reproductor crea varios enlaces BPF y provoca que falle una asignación inyectada por error, al llamar a bpf_link_detach en ellos. La separación del enlace activa la liberación del enlace por bpf_link_free(), que llama a __cgroup_bpf_detach() y update_effective_progs(). Si la asignación de memoria en esta función falla, la función restaura el puntero a bpf_cgroup_link en la lista cgroup, pero la memoria se libera justo después de que regrese. Después de esto, cada llamada posterior a update_effective_progs() hace que este puntero ya desasignado se desreferencia en prog_list_length() y activa el error UAF de KASAN. Para solucionar este problema, no conserve el puntero al programa ni al enlace en la lista, sino elimínelo y reemplácelo con un programa ficticio sin reducir la tabla. La llamada posterior a __cgroup_bpf_detach() o __cgroup_bpf_detach() lo corregirá.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: light: isl29028: Se corrige la advertencia en isl29028_remove(). El controlador utiliza la forma no administrada de la función de registro en isl29028_remove(). Para que el orden de lanzamiento sea similar al de la sonda, el controlador también debe usar la forma no administrada en la sonda. El siguiente registro lo revela: [32.374955] isl29028 0-0010: eliminar [32.376861] fallo de protección general, probablemente para dirección no canónica 0xdffffc0000000006: 0000 [#1] PREEMPT SMP KASAN PTI [ 32.377676] KASAN: null-ptr-deref in range [0x0000000000000030-0x0000000000000037] [ 32.379432] RIP: 0010:kernfs_find_and_get_ns+0x28/0xe0 [ 32.385461] Call Trace: [ 32.385807] sysfs_unmerge_group+0x59/0x110 [ 32.386110] dpm_sysfs_remove+0x58/0xc0 [ 32.386391] device_del+0x296/0xe50 [ 32.386959] cdev_device_del+0x1d/0xd0 [ 32.387231] devm_iio_device_unreg+0x27/0xb0 [ 32.387542] devres_release_group+0x319/0x3d0 [ 32.388162] i2c_device_remove+0x93/0x1f0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fuse: escritura de inodo en fuse_release(). Una competencia entre write(2) y close(2) permite que las páginas se ensucien después de fuse_flush -> write_inode_now(). Si estas páginas no se vacían desde fuse_release(), es posible que no haya ningún archivo abierto con permisos de escritura posteriormente. Por lo tanto, cualquier página sucia restante debe reescribirse antes de liberar el archivo. Esta es una reversión parcial de el commit responsable.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: sg: Permitir esperar a que se completen los comandos en el dispositivo eliminado Cuando se elimina un dispositivo SCSI mientras está en uso activo, actualmente sg devolverá inmediatamente -ENODEV en cualquier intento de esperar los comandos activos que se enviaron antes de la eliminación. Esto es problemático para los comandos que usan SG_FLAG_DIRECT_IO ya que el búfer de datos puede seguir en uso por el kernel cuando el espacio de usuario lo libera o lo reutiliza después de obtener ENODEV, lo que lleva a la memoria del espacio de usuario dañada (en el caso de comandos de tipo READ) o al envío de datos dañados al dispositivo (en el caso de comandos de tipo WRITE). Esto se ha visto en la práctica al cerrar sesión en una sesión iscsi_tcp, donde el controlador iSCSI puede seguir procesando comandos después de que el dispositivo se haya marcado para su eliminación. Cambie la política para permitir que el espacio de usuario espere comandos sg activos incluso cuando se esté eliminando el dispositivo. Devuelva -ENODEV solo cuando no haya más respuestas para leer.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: coresight: Borrar el campo de conexión correctamente los dispositivos coresight rastrean sus conexiones (conexiones de salida) y mantienen una referencia al fwnode. Cuando un dispositivo desaparece, recorremos los dispositivos en el bus coresight y nos aseguramos de que se eliminen las referencias. Esto sucede en ambos sentidos: a) Para todas las conexiones de salida desde el dispositivo, eliminamos la referencia al dispositivo de destino mediante coresight_release_platform_data() b) Iteramos sobre todos los dispositivos en el bus coresight y eliminamos la referencia a fwnode si *este* dispositivo es el destino de la conexión de salida, mediante coresight_remove_conns()->coresight_remove_match(). Sin embargo, coresight_remove_match() no borra el campo fwnode, después de eliminar la referencia, esto causa Use-After-Free y disminuciones adicionales de refcount en el fwnode. Por ejemplo, si tenemos dos dispositivos, A y B, conectados, A -> B. Si eliminamos B primero, B eliminaría la referencia en B desde A mediante coresight_remove_match(). Sin embargo, al eliminar A, aún mantiene una conexión con fwnode apuntando a B. Por lo tanto, intenta eliminar la referencia en coresight_release_platform_data(), lo que genera alertas como: [ 91.990153 ------------[ cortar aquí ]------------ [ 91.990163 ] refcount_t: adición en 0; Use-After-Free. [ 91.990212] ADVERTENCIA: CPU: 0 PID: 461 en lib/refcount.c:25 refcount_warn_saturate+0xa0/0x144 [ 91.990260] Módulos vinculados: coresight_funnel coresight_replicator coresight_etm4x(-) crct10dif_ce coresight ip_tables x_tables ipv6 [última descarga: coresight_cpu_debug] [ 91.990398] CPU: 0 PID: 461 Comm: rmmod Contaminado: GWT 5.19.0-rc2+ #53 [ 91.990418] Nombre del hardware: ARM LTD ARM Juno Development Platform/ARM Juno Development Platform, BIOS EDK II 1 de febrero de 2019 [ 91.990434] pstate: 600000c5 (nZCv daIF -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 91.990454] pc : refcount_warn_saturate+0xa0/0x144 [ 91.990476] lr : refcount_warn_saturate+0xa0/0x144 [ 91.990496] sp : ffff80000c843640 [ 91.990509] x29: ffff80000c843640 x28: ffff800009957c28 x27: ffff80000c8439a8 [ 91.990560] x26: ffff00097eff1990 x25: ffff8000092b6ad8 x24: ffff00097eff19a8 [91.990610] x23: ffff80000c8439a8 x22: 0000000000000000 x21: ffff80000c8439c2 [91.990659] x20: 0000000000000000 x19: ffff00097eff1a10 x18: ffff80000ab99c40 [91.990708] x17: 000000000000000 x16: 0000000000000000 x15: ffff80000abf6fa0 [ 91.990756] x14: 000000000000001d x13: 0a2e656572662d72 x12: 657466612d657375 [ 91.990805] x11: 203b30206e6f206e x10: 6f69746964646120 x9: ffff8000081aba28 [91.990854] x8: 206e6f206e6f6974 x7: 69646461203a745f x6: 746e756f63666572 [91.990903] x5: ffff00097648ec58 x4: 0000000000000000 x3: 0000000000000027 [91.990952] x2: 0000000000000000 x1: 0000000000000000 x0: ffff00080260ba00 [91.991000] Rastreo de llamadas: [ 91.991012] refcount_warn_saturate+0xa0/0x144 [ 91.991034] kobject_get+0xac/0xb0 [ 91.991055] of_node_get+0x2c/0x40 [ 91.991076] of_fwnode_get+0x40/0x60 [ 91.991094] fwnode_handle_get+0x3c/0x60 [ 91.991116] fwnode_get_nth_parent+0xf4/0x110 [ 91.991137] fwnode_full_name_string+0x48/0xc0 [ 91.991158] device_node_string+0x41c/0x530 [ 91.991178] pointer+0x320/0x3ec [ 91.991198] vsnprintf+0x23c/0x750 [ 91.991217] vprintk_store+0x104/0x4b0 [ 91.991238] vprintk_emit+0x8c/0x360 [ 91.991257] vprintk_default+0x44/0x50 [ 91.991276] vprintk+0xcc/0xf0 [ 91.991295] _printk+0x68/0x90 [ 91.991315] of_node_release+0x13c/0x14c [ 91.991334] kobject_put+0x98/0x114 [ 91.991354] of_node_put+0x24/0x34 [ 91.991372] of_fwnode_put+0x40/0x5c [ 91.991390] fwnode_handle_put+0x38/0x50 [ 91.991411] coresight_release_platform_data+0x74/0xb0 [coresight] [ 91.991472] coresight_unregister+0x64/0xcc [coresight] [ 91.991525] etm4_remove_dev+0x64/0x78 [coresight_etm4x] [ 91.991563] etm4_remove_amba+0x1c/0x2c [coresight_etm4x] [ 91.991598] amba_remove+0x3c/0x19c ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_tables: no permitir que SET_ID haga referencia a otra tabla. Al buscar conjuntos en el mismo lote usando su ID, se puede usar un conjunto de una tabla diferente. Al eliminar la tabla, es posible que se conserve una referencia al conjunto después de liberarlo, lo que puede provocar un error de Use-After-Free. Al buscar conjuntos por ID, se debe usar la tabla utilizada para la búsqueda por nombre y devolver solo los conjuntos que pertenecen a esa misma tabla. Esto corrige CVE-2022-2586, también reportado como ZDI-CAN-17470.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_tables: no permitir que CHAIN_ID haga referencia a otra tabla Al realizar búsquedas de cadenas en el mismo lote usando su ID, se puede usar una cadena de una tabla diferente. Si se agrega una regla a una tabla pero hace referencia a una cadena en una tabla diferente, se vinculará a la cadena en la tabla2, pero tendría expresiones que hacen referencia a objetos en la tabla1. Luego, cuando se elimina la tabla1, la regla no se eliminará ya que está vinculada a una cadena en la tabla2. Cuando se procesan o eliminan expresiones en la regla, eso conducirá a un Use-After-Free. Al buscar cadenas por ID, use la tabla que se usó para la búsqueda por nombre y solo devuelva las cadenas que pertenecen a esa misma tabla.