Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/rxe: Corrección BUG: KASAN: null-ptr-deref en rxe_qp_do_cleanup La función rxe_create_qp llama a rxe_qp_from_init. Si ocurre algún error, el controlador de errores de la función rxe_qp_from_init establecerá tanto scq como rcq en NULL. Luego, rxe_create_qp llama a rxe_put para manejar qp. Al final, rxe_put llama a rxe_qp_do_cleanup. rxe_qp_do_cleanup accede directamente a scq y rcq antes de verificarlos. Esto causará un error null-ptr-deref. El gráfico de llamadas es el siguiente: rxe_create_qp { ... rxe_qp_from_init { ... err1: ... qp->rcq = NULL; <---rcq se establece en NULL qp->scq = NULL; <---scq se establece en NULL ... } qp_init: rxe_put{ ... rxe_qp_do_cleanup { ... atomic_dec(&qp->scq->num_wq); <--- se accede a scq ... atomic_dec(&qp->rcq->num_wq); <--- se accede a rcq } }

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/hfi1: Se corrige una posible fuga de memoria en setup_base_ctxt(). setup_base_ctxt() asigna un fragmento de memoria para uctxt->groups con hfi1_alloc_ctxt_rcv_groups(). Cuando init_user_ctxt() falla, uctxt->groups no se libera, lo que provoca una fuga de memoria. Deberíamos liberar uctxt->groups con hfi1_free_ctxt_rcv_groups() cuando init_user_ctxt() falla.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: xhci_plat_remove: evitar la desreferencia NULL Desde el commit 4736ebd7fcaff1eb8481c140ba494962847d6e0a ("usb: host: xhci-plat: omitir hcd compartido si el concentrador raíz no tiene puertos") xhci->shared_hcd puede ser NULL, lo que provoca el siguiente error Oops al reiniciar: [ 710.124450] systemd-shutdown[1]: Reiniciando. [ 710.298861] xhci-hcd xhci-hcd.2.auto: eliminar, estado 4 [ 710.304217] usb usb3: desconexión USB, número de dispositivo 1 [ 710.317441] xhci-hcd xhci-hcd.2.auto: bus USB 3 anulado [ 710.323280] xhci-hcd xhci-hcd.2.auto: eliminar, estado 1 [ 710.328401] usb usb2: desconexión USB, número de dispositivo 1 [ 710.333515] usb 2-3: desconexión USB, número de dispositivo 2 [ 710.467649] xhci-hcd xhci-hcd.2.auto: bus USB 2 anulado [ 710.475450] No se puede manejar el kernel NULL desreferencia de puntero en la dirección virtual 00000000000003b8 [ 710.484425] Información de aborto de memoria: [ 710.487265] ESR = 0x0000000096000004 [ 710.491060] EC = 0x25: DABT (EL actual), IL = 32 bits [ 710.496427] SET = 0, FnV = 0 [ 710.499525] EA = 0, S1PTW = 0 [ 710.502716] FSC = 0x04: fallo de traducción de nivel 0 [ 710.507648] Información de aborto de datos: [ 710.510577] ISV = 0, ISS = 0x00000004 [ 710.514462] CM = 0, WnR = 0 [ 710.517480] usuario pgtable: 4k páginas, VAs de 48 bits, pgdp=00000008b0050000 [ 710.523976] [00000000000003b8] pgd=0000000000000000, p4d=0000000000000000 [ 710.530961] Error interno: Oops: 96000004 [#1] PREEMPT SMP [ 710.536551] Módulos vinculados: rfkill input_leds snd_soc_simple_card snd_soc_simple_card_utils snd_soc_nau8822 designware_i2s snd_soc_core dw_hdmi_ahb_audio snd_pcm_dmaengine arm_ccn panfrost ac97_bus gpu_sched snd_pcm at24 fuse configfs sdhci_of_dwcmshc sdhci_pltfm sdhci nvme led_class mmc_core nvme_core bt1_pvt polynomial tp_serio snd_seq_midi snd_seq_midi_event snd_seq snd_timer snd_rawmidi snd_seq_device snd soundcore efivarfs ipv6 [ 710.575286] CPU: 7 PID: 1 Comm: systemd-shutdow No contaminado 5.19.0-rc7-00043-gfd8619f4fd54 #1 [ 710.583822] Nombre del hardware: T-Platforms TF307-MB/BM1BM1-A, BIOS 5.6 07/06/2022 [ 710.590972] pstate: 40000005 (nZcv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 710.597949] pc : usb_remove_hcd+0x34/0x1e4 [ 710.602067] lr : xhci_plat_remove+0x74/0x140 [ 710.606351] sp : ffff800009f3b7c0 [ 710.609674] x29: ffff800009f3b7c0 x28: ffff000800960040 x27: 0000000000000000 [ 710.616833] x26: ffff800008dc22a0 x25: 0000000000000000 x24: 0000000000000000 [ 710.623992] x23: 0000000000000000 x22: ffff000805465810 x21: ffff000805465800 [ 710.631149] x20: ffff000800f80000 x19: 0000000000000000 x18: ffffffffffffffff [ 710.638307] x17: ffff000805096000 x16: ffff00080633b800 x15: ffff000806537a1c [ 710.645465] x14: 000000000000001 x13: 0000000000000000 x12: ffff00080378d6f0 [ 710.652621] x11: ffff00080041a900 x10: ffff800009b204e8 x9 : ffff8000088abaa4 [ 710.659779] x8 : ffff000800960040 x7 : ffff800009409000 x6 : 0000000000000001 [ 710.666936] x5 : ffff800009241000 x4 : ffff800009241440 x3 : 0000000000000000 [ 710.674094] x2 : ffff000800960040 x1 : ffff000800960040 x0 : 0000000000000000 [ 710.681251] Llamada seguimiento: [ 710.683704] usb_remove_hcd+0x34/0x1e4 [ 710.687467] xhci_plat_remove+0x74/0x140 [ 710.691400] platform_remove+0x34/0x70 [ 710.695165] device_remove+0x54/0x90 [ 710.698753] device_release_driver_internal+0x200/0x270 [ 710.703992] device_release_driver+0x24/0x30 [ 710.708273] bus_remove_device+0xe0/0x16c [ 710.712293] device_del+0x178/0x390 [ 710.715797] platform_device_del.part.0+0x24/0x90 [ 710.720514] platform_device_unregister+0x30/0x50 [ 710.725232] dwc3_host_exit+0x20/0x30 [ 710.728907] dwc3_remove+0x174/0x1b0 [ 710.732494] platform_remove+0x34/0x70 [ 710.736254] device_remove+0x54/0x90 [ 710.739840] device_release_driver_internal+0x200/0x270 [ 710.745078] device_release_driver+0x24/0x30 [ 710.749359] bus_remove_device+0xe0/0x16c [ 710.753380] device_del+0x178/0x390 [ 710.756881] platform_device_del.part ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: cdns3: cambio de la asignación de 'priv_ep' en cdns3_gadget_ep_dequeue() y cdns3_gadget_ep_enable(). Si 'ep' es nulo, el resultado de ep_to_cdns3_ep(ep) es un puntero no válido y su desreferencia con priv_ep->cdns3_dev puede causar pánico. Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con SVACE.

Motivo del rechazo: esta autoridad de numeración CVE ha rechazado o retirado esta ID CVE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: mcp2221: evitar un desbordamiento de búfer en mcp_smbus_write() Advertencia de Smatch: drivers/hid/hid-mcp2221.c:388 Error de mcp_smbus_write(): __memcpy() '&mcp->txbuf[5]' demasiado pequeño (59 frente a 255) drivers/hid/hid-mcp2221.c:388 Error de mcp_smbus_write(): __memcpy() 'buf' demasiado pequeño (34 frente a 255) La variable 'len' puede tomar un valor entre 0 y 255, ya que puede provenir de data->block[0] y son datos de usuario. Por lo tanto, agregue una comprobación de límite para evitar un desbordamiento de búfer en memcpy().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: staging: fbtft: core: establecer smem_len antes de la llamada a fb_deferred_io_init. La función fbtft_framebuffer_alloc() llama a fb_deferred_io_init() antes de inicializar info->fix.smem_len. La función framebuffer_alloc() la establece a cero. Esto activará un WARN_ON() al inicio de fb_deferred_io_init() y la función no realizará ninguna acción.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/srpt: Se corrige un problema de use-after-free. Se cambian los miembros del puerto LIO dentro de struct srpt_port de miembros regulares a punteros. Se asignan las estructuras de datos del puerto LIO desde srpt_make_tport() y se liberan desde srpt_make_tport(). Se mantiene struct srpt_device mientras un puerto RDMA o un puerto de destino LIO esté asociado a él. Este parche desacopla la duración de struct srpt_port (controlado por el núcleo RDMA) y struct srpt_port_id (controlado por LIO). Este parche corrige la siguiente queja de KASAN: ERROR: KASAN: Use-After-Free en srpt_enable_tpg+0x31/0x70 [ib_srpt] Lectura de tamaño 8 en la dirección ffff888141cc34b8 por la tarea check/5093 Rastreo de llamadas: show_stack+0x4e/0x53 dump_stack_lvl+0x51/0x66 print_address_description.constprop.0.cold+0xea/0x41e print_report.cold+0x90/0x205 kasan_report+0xb9/0xf0 __asan_load8+0x69/0x90 srpt_enable_tpg+0x31/0x70 [ib_srpt] target_fabric_tpg_base_enable_store+0xe2/0x140 [target_core_mod] configfs_write_iter+0x18b/0x210 new_sync_write+0x1f2/0x2f0 vfs_write+0x3e3/0x540 ksys_write+0xbb/0x140 __x64_sys_write+0x42/0x50 do_syscall_64+0x34/0x80 entry_SYSCALL_64_after_hwframe+0x46/0xb0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/rxe: Corrección del error de desenrollado en rxe_create_qp(). En la función rxe_create_qp(), se llama a rxe_qp_from_init() para inicializar qp. Internamente, elementos como los bloqueos de giro no se configuran hasta rxe_qp_init_req(). Si se produce un error antes de este punto, el desenrollado llamará a rxe_cleanup() y, finalmente, a rxe_qp_do_cleanup()/rxe_cleanup_task(), lo que generará un error al intentar acceder al bloqueo de giro no inicializado. Se deben adelantar las inicializaciones de los bloqueos de giro para evitar cualquier fallo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: jbd2: se corrige el error de aserción 'jh->b_frozen_data == NULL' cuando se aborta el diario El siguiente proceso fallará la aserción 'jh->b_frozen_data == NULL' en jbd2_journal_dirty_metadata(): jbd2_journal_commit_transaction unlink(dir/a) jh->b_transaction = trans1 jh->b_jlist = BJ_Metadata journal->j_running_transaction = NULL trans1->t_state = T_COMMIT unlink(dir/b) handle->h_trans = trans2 do_get_write_access jh->b_modified = 0 jh->b_frozen_data = frozen_buffer jh->b_next_transaction = trans2 jbd2_journal_dirty_metadata is_handle_aborted is_journal_aborted // devuelve falso --> jbd2 abort <-- while (commit_transaction->t_buffers) if (is_journal_aborted) jbd2_journal_refile_buffer __jbd2_journal_refile_buffer WRITE_ONCE(jh->b_transaction, jh->b_next_transaction) WRITE_ONCE(jh->b_next_transaction, NULL) __jbd2_journal_file_buffer(jh, BJ_Reserved) J_ASSERT_JH(jh, jh->b_frozen_data == NULL) // ¡Fallo de aserción! El reproductor (ver detalles en [Enlace]) informa: ------------[ cortar aquí ]------------ ¡ERROR del kernel en fs/jbd2/transaction.c:1629! código de operación no válido: 0000 [#1] PREEMPT SMP CPU: 2 PID: 584 Comm: desvincular Contaminado: GW 5.19.0-rc6-00115-g4a57a8400075-dirty #697 RIP: 0010:jbd2_journal_dirty_metadata+0x3c5/0x470 RSP: 0018:ffffc90000be7ce0 EFLAGS: 00010202 Rastreo de llamadas: __ext4_handle_dirty_metadata+0xa0/0x290 ext4_handle_dirty_dirblock+0x10c/0x1d0 ext4_delete_entry+0x104/0x200 __ext4_unlink+0x22b/0x360 ext4_unlink+0x275/0x390 vfs_unlink+0x20b/0x4c0 do_unlinkat+0x42f/0x4c0 __x64_sys_unlink+0x37/0x50 do_syscall_64+0x35/0x80 Después de abortar el diario, se ejecuta __jbd2_journal_refile_buffer() manteniendo presionado @jh->b_state_lock. Podemos solucionarlo moviendo 'is_handle_aborted()' al área protegida por @jh->b_state_lock.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: cros_ec_codec: Se corrige la fuga de recuento de referencias en cros_ec_codec_platform_probe. of_parse_phandle() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: mt6797-mt6351: Se corrige la fuga de recuento de referencias en mt6797_mt6351_dev_probe. of_parse_phandle() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.