Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kernfs: se corrige una posible desreferencia de punteros NULL en __kernfs_remove. Cuando lockdep está habilitado, lockdep_assert_held_write podría causar una posible desreferencia de punteros NULL. Se corrigen las siguientes advertencias de coincidencia: fs/kernfs/dir.c:1353 __kernfs_remove() warn: variable desreferenciada antes de la comprobación 'kn' (véase la línea 1346).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/mempolicy: corrige el acceso fuera de los límites a get_nodes. Cuando el usuario especifica más nodos de los admitidos, get_nodes accederá a la matriz nmask fuera de los límites.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: dwc: Desasignar memoria EPC en errores de dw_pcie_ep_init(). Si dw_pcie_ep_init() no realiza ninguna acción después de inicializar la memoria EPC y asignar la región de memoria MSI, estas últimas acciones no se desharán, lo que provocará una fuga de memoria. Se ha añadido una ruta de limpieza en caso de error para corregir estas fugas. [bhelgaas: registro de confirmaciones]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: intel_th: msu: Reparar búferes vmalloced Después de el commit f5ff79fddf0e ("dma-mapping: remove CONFIG_DMA_REMAP") existe la posibilidad de que el buffer DMA se asigne a través de vmalloc(), lo que arruina el código mmapping: > RIP: msc_mmap_fault [intel_th_msu] > Rastreo de llamada: > > __do_fault > do_fault ... Solucione esto teniendo en cuenta la posibilidad de vmalloc.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mmc: sdhci-of-esdhc: Se corrige la fuga de recuento de referencias en esdhc_signal_voltage_switch. of_find_matching_node() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias. of_node_put() comprueba el puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dmaengine: sf-pdma: Agregar soporte multihilo para un canal DMA Cuando obtenemos un canal DMA e intentamos usarlo en múltiples subprocesos, provocará errores y colgará el sistema. % echo 64 > /sys/module/dmatest/parameters/threads_per_chan % echo 10000 > /sys/module/dmatest/parameters/iterations % echo 1 > /sys/module/dmatest/parameters/run [ 89.480664] No se puede manejar la desreferencia del puntero NULL del núcleo en la dirección virtual 00000000000000a0 [ 89.488725] Ups [#1] [ 89.494708] CPU: 2 PID: 1008 Comm: dma0chan0-copy0 No contaminado 5.17.0-rc5 [ 89.509385] epc : vchan_find_desc+0x32/0x46 [ 89.513553] ra : sf_pdma_tx_status+0xca/0xd6 Esto ocurre debido a la ejecución de datos. Cada hilo reescribe el descriptor del canal en cuanto se llama a device_prep_dma_memcpy(). Esto provoca que el controlador crea que está usando el descriptor correcto, pero en realidad se libera o sustituye a otro. Con las correcciones actuales, un descriptor cambia su valor solo cuando se ha usado. Se obtiene un nuevo descriptor de la cola vc->desc_issued, que ya contiene descriptores listos para enviarse. Los hilos no tienen acceso directo al descriptor del canal DMA. Ahora solo es posible poner en cola un descriptor para su posterior procesamiento.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: soundwire: revisitar la vinculación/desvinculación del controlador y las devoluciones de llamada. En la sonda SoundWire, almacenamos un puntero desde las operaciones del controlador en la estructura "slave". Esto puede provocar errores en el kernel al desvincular los controladores de códec, por ejemplo, con la siguiente secuencia para eliminar el controlador de la máquina y el controlador de códec: /sbin/modprobe -r snd_soc_sof_sdw /sbin/modprobe -r snd_soc_rt711. Los detalles completos se pueden encontrar en el enlace de error a continuación. Como referencia, los dos ejemplos siguientes muestran diferentes casos de operaciones/devoluciones de llamada del controlador que se invocan después de la instrucción `.remove()` del controlador. kernel: ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000150 kernel: Cola de trabajo: eventos cdns_update_slave_status_work [cadencia_soundwire] kernel: RIP: 0010:mutex_lock+0x19/0x30 kernel: Rastreo de llamadas: kernel: ? sdw_handle_slave_status+0x426/0xe00 [bus_soundwire 94ff184bf398570c3f8ff7efe9e32529f532e4ae] kernel: ? newidle_balance+0x26a/0x400 kernel: ? cdns_update_slave_status_work+0x1e9/0x200 [soundwire_cadence 1bcf98eebe5ba9833cd433323769ac923c9c6f82] kernel: ERROR: no se puede manejar el error de página para la dirección: ffffffffc07654c8 kernel: Cola de trabajo: pm pm_runtime_work kernel: RIP: 0010:sdw_bus_prep_clk_stop+0x6f/0x160 [soundwire_bus] kernel: Rastreo de llamadas: kernel: kernel: sdw_cdns_clock_stop+0xb5/0x1b0 [soundwire_cadence 1bcf98eebe5ba9833cd433323769ac923c9c6f82] kernel: intel_suspend_runtime+0x5f/0x120 [soundwire_intel aca858f7c87048d3152a4a41bb68abb9b663a1dd] kernel: ? dpm_sysfs_remove+0x60/0x60 Esto no se detectó previamente en las pruebas de Intel, ya que estas primero eliminan el dispositivo PCI principal y apagan el bus. La secuencia anterior es un caso excepcional que mantiene el bus operativo, pero sin un controlador vinculado. Al intentar resolver este error del kernel, se hizo evidente que el bus SoundWire existente no gestiona bien el caso de desvinculación. el commit 528be501b7d4a ("soundwire: sdw_slave: añadir estructura probe_complete y nuevos campos") añadió una variable de estado "probed" y una finalización de estructura "probe_complete". Sin embargo, este estado no se restablece al eliminar el dispositivo y, del mismo modo, la prueba "probe complete" no se reinicializa, por lo que las pruebas de vinculación/desvinculación/vinculación fallarían. El tiempo de espera utilizado antes de la devolución de llamada "update_status" también fue una mala idea en retrospectiva; no debería haber suposiciones sobre el tiempo que determina si un controlador está vinculado a un dispositivo y cuándo. Un borrador inicial se basó en device_lock() y se probó device_unlock(). Esto resultó ser demasiado complicado, con interbloqueos creados durante las secuencias de suspensión-reinicio, que también utilizan el mismo device_lock/unlock() que las secuencias de vinculación/desvinculación. En un dispositivo CometLake, un DSDT/BIOS defectuoso provocó reanudaciones falsas y el uso de device_lock() provocó bloqueos durante la suspensión. Tras varias semanas de pruebas y una ardua ingeniería inversa de interbloqueos en diferentes dispositivos, buscamos alternativas que no interfirieran con el núcleo del dispositivo. Se utilizó con éxito un notificador de bus para realizar un seguimiento de los eventos DRIVER_BOUND y DRIVER_UNBIND. Esto solucionó el problema de enlazar-desenlazar-enlazar en las pruebas, pero aún se puede solucionar con un caso límite teórico donde la memoria se libera mediante un `.remove` mientras se usa la devolución de llamada. El notificador solo ayuda a garantizar que las devoluciones de llamada del controlador sean válidas, pero no que la memoria asignada en la sonda siga siendo válida mientras se invocan las devoluciones de llamada. Este parche sugiere la introducción de un nuevo ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: intel_th: corrige una pérdida de recursos en una ruta de manejo de errores Si ocurre un error después de llamar a 'pci_alloc_irq_vectors()', se debe llamar a 'pci_free_irq_vectors()' como ya se hizo en la función de eliminación.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: memstick/ms_block: Se corrige una fuga de memoria: la variable 'erased_blocks_bitmap' nunca se libera. Dado que se asigna al mismo tiempo que 'used_blocks_bitmap', es probable que deba liberarse también simultáneamente. Agregue el bitmap_free() correspondiente en msb_data_clear().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: aspeed-vhub: se corrige el error de pérdida de recuento de referencias en ast_vhub_init_desc() Deberíamos llamar a of_node_put() para la referencia devuelta por of_get_child_by_name() que ha aumentado el recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/qedr: Se corrige una posible fuga de memoria en __qedr_alloc_mr(). __qedr_alloc_mr() asigna un fragmento de memoria para "mr->info.pbl_table" con init_mr_info(). Cuando fallan rdma_alloc_tid() y rdma_register_tid(), se libera "mr" mientras que "mr->info.pbl_table" no, lo que provoca una fuga de memoria. Deberíamos liberar "mr->info.pbl_table" con qedr_free_pbl() cuando se produzca el error para corregir la fuga de memoria.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/irdma: Se corrige una ventana para el Use-After-Free. Durante un CQ de destrucción, una interrupción puede provocar el procesamiento de un CQE después de que irdma_cq_free_rsrc() libere recursos CQ. Se soluciona este problema trasladando la llamada a irdma_cq_free_rsrc() después de irdma_sc_cleanup_ceqes(), que se ejecuta bajo cq_lock.