Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: iscsi: Se corrige el uso de la eliminación de la conexión de hardware después de la liberación. Si qla4xxx no elimina la conexión antes de la sesión, la clase iSCSI intenta eliminarla. Se estaba ejecutando una función iscsi_put_conn() en la función iter, lo cual no es necesario y resultará en un Use-After-Free, ya que iscsi_remove_conn() liberará la conexión.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: host: ohci-ppc-of: Se corrige el error de fuga de refcount. En ohci_hcd_ppc_of_probe(), of_find_compatible_node() devolverá un puntero de nodo con refcount incrementado. Deberíamos usar of_node_put() cuando ya no se use.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: cdns3 corrige el Use-After-Free en la solución alternativa 2 ERROR: KFENCE: Use-After-Free en __list_del_entry_valid+0x10/0xac cdns3_wa2_remove_old_request() { ... kfree(priv_req->request.buf); cdns3_gadget_ep_free_request(&priv_ep->endpoint, &priv_req->request); list_del_init(&priv_req->list); ^^^ Use-After-Free ... } cdns3_gadget_ep_free_request() libera el espacio apuntado por priv_req, pero priv_req se usa en el siguiente list_del_init(). Este parche mueve list_del_init() antes de cdns3_gadget_ep_free_request().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: Se corrige el Use-After-Free en el mutex amdgpu_bo_list. Si amdgpu_cs_vm_handling devuelve r != 0, se desbloqueará el mutex bo_list dentro de la función amdgpu_cs_vm_handling y de nuevo en amdgpu_cs_parser_fini. Este problema genera el siguiente problema de Use-After-Free: [ 220.280990] ------------[ corte aquí ]------------ [ 220.281000] refcount_t: desbordamiento; Use-After-Free. [ 220.281019] ADVERTENCIA: CPU: 1 PID: 3746 en lib/refcount.c:28 refcount_warn_saturate+0xba/0x110 [ 220.281029] ------------[ cortar aquí ]------------ [ 220.281415] CPU: 1 PID: 3746 Comm: chrome:cs0 Tainted: GWL ------- --- 5.20.0-0.rc0.20220812git7ebfc85e2cd7.10.fc38.x86_64 #1 [ 220.281421] Nombre del hardware: Fabricante del sistema Nombre del producto del sistema/ROG STRIX X570-I GAMING, BIOS 4403 27/04/2022 [ 220.281426] RIP: 0010:refcount_warn_saturate+0xba/0x110 [ 220.281431] Código: 01 01 e8 79 4a 6f 00 0f 0b e9 42 47 a5 00 80 3d de 7e be 01 00 75 85 48 c7 c7 f8 98 8e 98 c6 05 ce 7e be 01 01 e8 56 4a 6f 00 <0f> 0b e9 1f 47 a5 00 80 3d b9 7e be 01 00 0f 85 5e ff ff ff 48 c7 [ 220.281437] RSP: 0018:ffffb4b0d18d7a80 EFLAGS: 00010282 [ 220.281443] RAX: 00000000000000026 RBX: 0000000000000003 RCX: 00000000000000000 [ 220.281448] RDX: 0000000000000001 RSI: ffffffff988d06dc RDI: 00000000ffffffff [ 220.281452] RBP: 00000000ffffffff R08: 00000000000000000 R09: ffffb4b0d18d7930 [220.281457] R10: 00000000000000003 R11: ffffa0672e2fffe8 R12: ffffa058ca360400 [ 220.281461] R13: ffffa05846c50a18 R14: 00000000fffffe00 R15: 000000000000003 [ 220.281465] FS: 00007f82683e06c0(0000) GS:ffffa066e2e00000(0000) knlGS:0000000000000000 [ 220.281470] CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 [ 220.281475] CR2: 00003590005cc000 CR3: 00000001fca46000 CR4: 0000000000350ee0 [ 220.281480] Seguimiento de llamadas: [ 220.281485] [ 220.281490] amdgpu_cs_ioctl+0x4e2/0x2070 [amdgpu] [ 220.281806] ? amdgpu_cs_find_mapping+0xe0/0xe0 [amdgpu] [ 220.282028] drm_ioctl_kernel+0xa4/0x150 [ 220.282043] drm_ioctl+0x21f/0x420 [ 220.282053] ? amdgpu_cs_find_mapping+0xe0/0xe0 [amdgpu] [ 220.282275] ? lock_release+0x14f/0x460 [ 220.282282] ? _raw_spin_unlock_irqrestore+0x30/0x60 [ 220.282290] ? _raw_spin_unlock_irqrestore+0x30/0x60 [ 220.282297] ? lockdep_hardirqs_on+0x7d/0x100 [ 220.282305] ? _raw_spin_unlock_irqrestore+0x40/0x60 [ 220.282317] amdgpu_drm_ioctl+0x4a/0x80 [amdgpu] [ 220.282534] __x64_sys_ioctl+0x90/0xd0 [ 220.282545] do_syscall_64+0x5b/0x80 [ 220.282551] ? futex_wake+0x6c/0x150 [ 220.282568] ? lock_is_held_type+0xe8/0x140 [ 220.282580] ? do_syscall_64+0x67/0x80 [ 220.282585] ? lockdep_hardirqs_on+0x7d/0x100 [ 220.282592] ? do_syscall_64+0x67/0x80 [ 220.282597] ? do_syscall_64+0x67/0x80 [ 220.282602] ? lockdep_hardirqs_on+0x7d/0x100 [ 220.282609] entry_SYSCALL_64_after_hwframe+0x63/0xcd [ 220.282616] RIP: 0033:0x7f8282a4f8bf [ 220.282639] Code: 00 48 89 44 24 18 31 c0 48 8d 44 24 60 c7 04 24 10 00 00 00 48 89 44 24 08 48 8d 44 24 20 48 89 44 24 10 b8 10 00 00 00 0f 05 <89> c2 3d 00 f0 ff ff 77 18 48 8b 44 24 18 64 48 2b 04 25 28 00 00 [ 220.282644] RSP: 002b:00007f82683df410 EFLAGS: 00000246 ORIG_RAX: 0000000000000010 [ 220.282651] RAX: ffffffffffffffda RBX: 00007f82683df588 RCX: 00007f8282a4f8bf [ 220.282655] RDX: 00007f82683df4d0 RSI: 00000000c0186444 RDI: 0000000000000018 [ 220.282659] RBP: 00007f82683df4d0 R08: 00007f82683df5e0 R09: 00007f82683df4b0 [ 220.282663] R10: 00001d04000a0600 R11: 0000000000000246 R12: 00000000c0186444 [ 220.282667] R13: 0000000000000018 R14: 00007f82683df588 R15: 0000000000000003 [ 220.282689] [ 220.282693] marca de evento irq: 6232311 [ 220.282697] hardirqs se habilitaron por última vez en (6232319): [] __up_console_sem+0x5e/0x70 [ 220.282704] hardirqs se deshabilitaron por última vez en (6232326): [] __up_console_sem+0x43/0x70 [ 220.282709] softirqs se habilitaron por última vez en (6232072): [] __irq_exit_rcu+0xf9/0x170 [ 220.282716] softirqs ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gadgetfs: ep_io - espera hasta que finalice la IRQ después de usb_ep_queue(). Si wait_for_completion_interruptible() se interrumpe, debemos esperar hasta que finalice la IRQ. De lo contrario, la ejecución de complete() desde epio_complete() puede dañar la pila.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: clk: qcom: ipq8074: no deshabilite gcc_sleep_clk_src Una vez que se deshabilitan los relojes de suspensión USB, el marco del reloj también intenta deshabilitar la fuente del reloj de suspensión. Sin embargo, parece que no se puede desactivar e intentar hacerlo produce: [ 245.436390] ------------[ cortar aquí ]------------ [ 245.441233] estado gcc_sleep_clk_src atascado en 'on' [ 245.441254] ADVERTENCIA: CPU: 2 PID: 223 en clk_branch_wait+0x130/0x140 [ 245.450435] Módulos vinculados en: xhci_plat_hcd xhci_hcd dwc3 dwc3_qcom leds_gpio [ 245.456601] CPU: 2 PID: 223 Comm: sh No contaminado 5.18.0-rc4 #215 [ 245.463889] Nombre del hardware: Xiaomi AX9000 (DT) [ 245.470050] pstate: 204000c5 (nzCv daIF +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 245.474307] pc : clk_branch_wait+0x130/0x140 [ 245.481073] lr : clk_branch_wait+0x130/0x140 [ 245.485588] sp : ffffffc009f2bad0 [ 245.489838] x29: ffffffc009f2bad0 x28: ffffff8003e6c800 x27: 0000000000000000 [ 245.493057] x26: 0000000000000000 x25: 0000000000000000 x24: ffffff800226ef20 [ 245.500175] x23: ffffffc0089ff550 x22: 0000000000000000 x21: ffffffc008476ad0 [ 245.507294] x20: 000000000000000 x19: ffffffc00965ac70 x18: fffffffffffc51a7 [ 245.514413] x17: 68702e3030303837 x16: 3a6d726f6674616c x15: ffffffc089f2b777 [245.521531] x14: ffffffc0095c9d18 x13: 0000000000000129 x12: 0000000000000129 [245.528649] x11: 00000000ffffffea x10: ffffffc009621d18 x9: 0000000000000001 [245.535767] x8: 000000000000001 x7: 0000000000017fe8 x6: 0000000000000001 [ 245.542885] x5 : ffffff803fdca6d8 x4 : 0000000000000000 x3 : 0000000000000027 [ 245.550002] x2 : 0000000000000027 x1 : 0000000000000023 x0 : 0000000000000026 [ 245.557122] Rastreo de llamadas: [ 245.564229] clk_branch_wait+0x130/0x140 [ 245.566490] clk_branch2_disable+0x2c/0x40 [ 245.570656] clk_core_disable+0x60/0xb0 [ 245.574561] clk_core_disable+0x68/0xb0 [ 245.578293] clk_disable+0x30/0x50 [ 245.582113] dwc3_qcom_remove+0x60/0xc0 [dwc3_qcom] [ 245.585588] platform_remove+0x28/0x60 [ 245.590361] device_remove+0x4c/0x80 [ 245.594179] device_release_driver_internal+0x1dc/0x230 [ 245.597914] device_driver_detach+0x18/0x30 [ 245.602861] unbind_store+0xec/0x110 [ 245.607027] drv_attr_store+0x24/0x40 [ 245.610847] sysfs_kf_write+0x44/0x60 [ 245.614405] kernfs_fop_write_iter+0x128/0x1c0 [ 245.618052] new_sync_write+0xc0/0x130 [ 245.622391] vfs_write+0x1d4/0x2a0 [ 245.626123] ksys_write+0x58/0xe0 [ 245.629508] __arm64_sys_write+0x1c/0x30 [ 245.632895] invoke_syscall.constprop.0+0x5c/0x110 [ 245.636890] do_el0_svc+0xa0/0x150 [ 245.641488] el0_svc+0x18/0x60 [ 245.644872] el0t_64_sync_handler+0xa4/0x130 [ 245.647914] el0t_64_sync+0x174/0x178 [ 245.652340] ---[ fin de seguimiento 0000000000000000 ]--- Por lo tanto, agregue el indicador CLK_IS_CRITICAL al reloj para que el núcleo no intente para desactivar el reloj de sueño.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: lpfc: Evita fallos por desbordamiento de búfer en debugfs con entradas de usuario malformadas. Las entradas de usuario malformadas en debugfs provocan fallos por desbordamiento de búfer. Adapta la longitud de las cadenas de entrada para que quepan en los búferes internos, dejando espacio para terminadores NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: renesas: Se corrige el error de fuga de refcount. En usbhs_rza1_hardware_init(), of_find_node_by_name() devolverá un puntero de nodo con refcount incrementado. Deberíamos usar of_node_put() cuando ya no se use.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dmaengine: dw-axi-dmac: no imprimir LLI nulo durante el error. Durante la depuración, se detectó un problema en el que a axi_chan_dump_lli() se le pasaba un puntero LLI nulo, lo que provocaba un error al intentar obtener campos de él. Simplemente imprima LLI nulo y salga para evitarlo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cxl: Se corrige una pérdida de memoria en una ruta de manejo de errores. Un bitmap_zalloc() debe equilibrarse con un bitmap_free() correspondiente en la ruta de manejo de errores de afu_allocate_irqs().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: habanalabs/gaudi: corrección de desplazamiento fuera de los límites. Al validar colas NIC, el cálculo de desplazamiento de cola se debe realizar solo para colas NIC.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: lpfc: Se corrige una posible fuga de memoria al no emitir la WQE de CMF. No existe una rutina de liberación correspondiente si lpfc_sli4_issue_wqe no emite la WQE de CMF en lpfc_issue_cmf_sync_wqe. Si ret_val es distinto de cero, se libera la estructura de solicitud iocbq.