Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: iwlwifi: Se corrige el código de error en iwl_op_mode_dvm_start(). Se conserva el código de error si iwl_setup_deferred_work() falla. El código actual devuelve ERR_PTR(0) (que es NULL) en esta ruta. Creo que la falta del código de error podría provocar un uso posterior a la liberación que involucre debugfs.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtw89: mcc: impide el ajuste de turnos en rtw89_core_mlsr_switch(). El valor "link_id" proviene del usuario a través de debugfs. Si es mayor que BITS_PER_LONG, esto provocaría un ajuste de turnos y, potencialmente, un acceso fuera de los límites posteriormente. De hecho, podemos limitarlo a IEEE80211_MLD_MAX_NUM_LINKS (15). Afortunadamente, solo el usuario root puede escribir en archivos de debugfs, por lo que el impacto en la seguridad es mínimo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvmet: pci-epf: No completar comandos dos veces si nvmet_req_init() falla. nvmet_req_init() y req->execute() completan los comandos fallidos. Descripción del problema: nvmet_req_init() llama internamente a __nvmet_req_complete() en caso de fallo (p. ej., un código de operación no compatible, que llama a la devolución de llamada "queue_response"). Esto provoca la llamada a nvmet_pci_epf_queue_response(), que a su vez llama a nvmet_pci_epf_complete_iod() si data_len es 0 o si dma_dir es diferente de DMA_TO_DEVICE. Esto genera una doble finalización, ya que nvmet_pci_epf_exec_iod_work() también llama a nvmet_pci_epf_complete_iod() cuando falla nvmet_req_init(). Pasos para reproducir: En el host, envíe un comando con un código de operación no compatible con nvme-cli. Por ejemplo, el comando de administrador "security receive": $ sudo nvme security-recv /dev/nvme0n1 -n1 -x4096. Esto activa una doble finalización, ya que nvmet_req_init() falla y se llama a nvmet_pci_epf_queue_response(). En este caso, iod->dma_dir aún se encuentra en el estado predeterminado "DMA_NONE", tal como se establece por defecto en nvmet_pci_epf_alloc_iod(), por lo que se llama a nvmet_pci_epf_complete_iod(). Debido a que nvmet_req_init() falló, nvmet_pci_epf_complete_iod() también se llama en nvmet_pci_epf_exec_iod_work(), lo que provoca una doble finalización. Esto no solo envía dos finalizaciones al host, sino que también corrompe el estado del destino PCI NVMe, lo que provoca errores del kernel. Este parche permite que nvmet_req_init() y req->execute() completen todos los comandos fallidos y elimina el caso de doble finalización en nvmet_pci_epf_exec_iod_work(), corrigiendo así los casos extremos donde se producían dobles finalizaciones.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: hfsplus: eliminar comprobación mutex_lock en hfsplus_free_extents Syzbot informó de un problema en el sistema de archivos hfsplus: ------------[ cortar aquí ]------------ ADVERTENCIA: CPU: 0 PID: 4400 en fs/hfsplus/extents.c:346 hfsplus_free_extents+0x700/0xad0 Rastreo de llamadas: hfsplus_file_truncate+0x768/0xbb0 fs/hfsplus/extents.c:606 hfsplus_write_begin+0xc2/0xd0 fs/hfsplus/inode.c:56 cont_expand_zero fs/buffer.c:2383 [en línea] cont_write_begin+0x2cf/0x860 fs/buffer.c:2446 hfsplus_write_begin+0x86/0xd0 fs/hfsplus/inode.c:52 generic_cont_expand_simple+0x151/0x250 fs/buffer.c:2347 hfsplus_setattr+0x168/0x280 fs/hfsplus/inode.c:263 notify_change+0xe38/0x10f0 fs/attr.c:420 do_truncate+0x1fb/0x2e0 fs/open.c:65 do_sys_ftruncate+0x2eb/0x380 fs/open.c:193 do_syscall_x64 arch/x86/entry/common.c:50 [en línea] do_syscall_64+0x3d/0xb0 arch/x86/entry/common.c:80 entry_SYSCALL_64_after_hwframe+0x63/0xcd Para evitar un bloqueo, el commit 31651c607151 ("hfsplus: evitar bloqueo al truncamiento de archivos") desbloquea el árbol externo antes de hfsplus_free_extents() y añade una comprobación de si el árbol externo está bloqueado en hfsplus_free_extents(). Sin embargo, cuando operaciones como hfsplus_file_release, hfsplus_setattr, hfsplus_unlink y hfsplus_get_block se ejecutan simultáneamente en archivos diferentes, es muy probable que se active WARN_ON, lo que hará que syzbot y xfstest lo consideren una anomalía. El comentario sobre esta advertencia también describe una de las situaciones de fácil activación, que puede fácilmente provocar que xfstest y syzbot reporten errores. [Tarea A] [Tarea B] ->hfsplus_file_release ->hfsplus_file_truncate ->hfs_find_init ->mutex_lock ->mutex_unlock ->hfsplus_write_begin ->hfsplus_get_block ->hfsplus_file_extend ->hfsplus_ext_read_extent ->hfs_find_init ->mutex_lock ->hfsplus_free_extents WARN_ON(mutex_is_locked) !!! Varios subprocesos podrían intentar bloquear el árbol de extensiones compartidas. Una advertencia puede activarse en un subproceso cuando otro subproceso ha bloqueado el árbol. Este comportamiento del código es incorrecto y debemos eliminar la advertencia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: spi: stm32: Comprobar la disponibilidad de cfg en stm32_spi_probe La función stm32_spi_probe ahora incluye una comprobación para garantizar que el puntero devuelto por of_device_get_match_data no sea NULL antes de acceder a sus miembros. Esto resuelve una advertencia donde podría ocurrir una posible desreferencia de puntero NULL al acceder a cfg->has_device_mode. Antes de acceder al miembro 'has_device_mode', verificamos que 'cfg' no sea NULL. Si 'cfg' es NULL, se registra un mensaje de error. Este cambio garantiza que el controlador no intente acceder a los datos de configuración si no están disponibles, previniendo así un posible fallo del sistema debido a una desreferencia de puntero NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: arm64: dts: qcom: qcs615: se corrige un problema de bloqueo causado por un bucle infinito para Coresight. Los dispositivos Coresight han creado un bucle infinito. Cuando solo se habilita un dispositivo de origen, la función coresight_find_activated_sysfs_sink se invoca recursivamente para intentar localizar un dispositivo receptor activo, lo que finalmente provoca un desbordamiento de pila y un bloqueo del sistema. Por lo tanto, deshabilite replicator1 para romper el bucle infinito y evitar un posible desbordamiento de pila. replicator1_out -> funnel_swao_in6 -> tmc_etf_swao_in -> tmc_etf_swao_out | | replicator1_in replicator_swao_in | | replicator0_out1 replicator_swao_out0 | | replicator0_in funnel_in1_in3 | | tmc_etf_out <- tmc_etf_in <- funnel_merg_out <- funnel_merg_in1 <- funnel_in1_out [rastreo de llamadas] dump_backtrace+0x9c/0x128 show_stack+0x20/0x38 dump_stack_lvl+0x48/0x60 dump_stack+0x18/0x28 panic+0x340/0x3b0 nmi_panic+0x94/0xa0 panic_bad_stack+0x114/0x138 handle_bad_stack+0x34/0xb8 __bad_stack+0x78/0x80 coresight_find_activated_sysfs_sink+0x28/0xa0 [coresight] efecto secundario después del cambio: Solo los datos de seguimiento originados desde AOSS pueden alcanzar los receptores ETF_SWAO y EUD.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: landlock: Se corrige la advertencia de las pruebas de KUnit: get_id_range() espera un valor positivo como primer argumento, pero get_random_u8() puede devolver 0. Se corrige mediante la fijación de valores. Se validó ejecutando la prueba en un bucle for 1000 veces. Tenga en cuenta que MAX() es incorrecto, ya que solo se supone que debe usarse para constantes, pero max() es adecuado en este caso. [..] ok 9 test_range2_rand1 [..] ok 10 test_range2_rand2 [..] ok 11 test_range2_rand15 [..] ------------[ cortar aquí ]------------ [..] ADVERTENCIA: CPU: 6 PID: 104 en security/landlock/id.c:99 test_range2_rand16 (security/landlock/id.c:99 (discriminador 1) security/landlock/id.c:234 (discriminador 1)) [..] Módulos vinculados en: [..] CPU: 6 UID: 0 PID: 104 Comm: kunit_try_catch Contaminado: GN 6.16.0-rc1-dev-00001-g314a2f98b65f #1 PREEMPT(undef) [..] Contaminado: [N]=TEST [..] Nombre del hardware: PC estándar QEMU (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2 01/04/2014 [..] RIP: 0010:test_range2_rand16 (security/landlock/id.c:99 (discriminator 1) security/landlock/id.c:234 (discriminator 1)) [..] Código: 49 c7 c0 10 70 30 82 4c 89 ff 48 c7 c6 a0 63 1e 83 49 c7 45 a0 e0 63 1e 83 e8 3f 95 17 00 e9 1f ff ff ff 0f 0b e9 df fd ff ff <0f> 0b ba 01 00 00 00 e9 68 fe ff ff 49 89 45 a8 49 8d 4d a0 45 31 [..] RSP: 0000:ffff888104eb7c78 EFLAGS: 00010246 [..] RAX: 0000000000000000 RBX: 000000000870822c RCX: 0000000000000000 ^^^^^^^^^^^^^^^^^^ [..] [..] Rastreo de llamadas: [..] [..] ---[ fin de rastreo 000000000000000 ]--- [..] ok 12 test_range2_rand16 [..] # landlock_id: pass:12 fail:0 skip:0 total:12 [..] # Totales: pasa:12 falla:0 salta:0 total:12 [..] ok 1 landlock_id [mic: Mejoras cosméticas menores]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: rtw89: sar: se omite la aserción lockdep en rtw89_set_sar_from_acpi. La siguiente aserción se activa al iniciar el controlador rtw89. Parece inútil mantener el bloqueo de wiphy en la fase inicial, por lo que se omite la aserción. ADVERTENCIA: CPU: 7 PID: 629 en drivers/net/wireless/realtek/rtw89/sar.c:502 rtw89_set_sar_from_acpi+0x365/0x4d0 [rtw89_core] CPU: 7 UID: 0 PID: 629 Comm: (udev-worker) No contaminado 6.15.0+ #29 PREEMPT(lazy) Nombre del hardware: LENOVO 21D0/LNVNB161216, BIOS J6CN50WW 27/09/2024 RIP: 0010:rtw89_set_sar_from_acpi+0x365/0x4d0 [rtw89_core] Rastreo de llamadas: rtw89_sar_init+0x68/0x2c0 [rtw89_core] rtw89_core_init+0x188e/0x1e50 [rtw89_core] rtw89_pci_probe+0x530/0xb50 [rtw89_pci] local_pci_probe+0xd9/0x190 pci_call_probe+0x183/0x540 pci_device_probe+0x171/0x2c0 really_probe+0x1e1/0x890 __driver_probe_device+0x18c/0x390 driver_probe_device+0x4a/0x120 __driver_attach+0x1a0/0x530 bus_for_each_dev+0x10b/0x190 bus_add_driver+0x2eb/0x540 driver_register+0x1a3/0x3a0 do_one_initcall+0xd5/0x450 do_init_module+0x2cc/0x8f0 init_module_from_file+0xe1/0x150 idempotent_init_module+0x226/0x760 __x64_sys_finit_module+0xcd/0x150 do_syscall_64+0x94/0x380 entry_SYSCALL_64_after_hwframe+0x76/0x7e Encontrado por el Centro de verificación de Linux (linuxtesting.org).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: rechazar operaciones TDLS cuando la estación no está asociada. syzbot activó una advertencia en ieee80211_tdls_oper() al enviar NL80211_TDLS_ENABLE_LINK inmediatamente después de NL80211_CMD_CONNECT, antes de que se completara la asociación y sin haber configurado previamente TDLS. Esto dejó un estado interno como sdata->u.mgd.tdls_peer sin inicializar, lo que provocó una advertencia WARN_ON() en las rutas de código que asumían que era válido. Rechace la operación antes de tiempo si no está en modo estación o no está asociada.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/mlx5: Verificar el puntero de memoria del dispositivo antes del uso. Agregar una verificación NULL antes de acceder a la memoria del dispositivo para evitar un bloqueo si falla la asignación dev->dm en mlx5_init_once().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Deshabilitar la migración en nf_hook_run_bpf(). syzbot informó que el programa bpf de netfilter puede ejecutarse sin deshabilitar la migración en la ruta de transmisión. En ese caso, la aserción en __bpf_prog_run() falla, lo que genera el siguiente error. [0] Let's use bpf_prog_run_pin_on_cpu() in nf_hook_run_bpf(). [0]: BUG: assuming non migratable context at ./include/linux/filter.h:703 in_atomic(): 0, irqs_disabled(): 0, migration_disabled() 0 pid: 5829, name: sshd-session 3 locks held by sshd-session/5829: #0: ffff88807b4e4218 (sk_lock-AF_INET){+.+.}-{0:0}, at: lock_sock include/net/sock.h:1667 [inline] #0: ffff88807b4e4218 (sk_lock-AF_INET){+.+.}-{0:0}, at: tcp_sendmsg+0x20/0x50 net/ipv4/tcp.c:1395 #1: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_lock_acquire include/linux/rcupdate.h:331 [inline] #1: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_read_lock include/linux/rcupdate.h:841 [inline] #1: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: __ip_queue_xmit+0x69/0x26c0 net/ipv4/ip_output.c:470 #2: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_lock_acquire include/linux/rcupdate.h:331 [inline] #2: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: rcu_read_lock include/linux/rcupdate.h:841 [inline] #2: ffffffff8e5c4e00 (rcu_read_lock){....}-{1:3}, at: nf_hook+0xb2/0x680 include/linux/netfilter.h:241 CPU: 0 UID: 0 PID: 5829 Comm: sshd-session Not tainted 6.16.0-rc6-syzkaller-00002-g155a3c003e55 #0 PREEMPT(full) Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 05/07/2025 Call Trace: __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x16c/0x1f0 lib/dump_stack.c:120 __cant_migrate kernel/sched/core.c:8860 [inline] __cant_migrate+0x1c7/0x250 kernel/sched/core.c:8834 __bpf_prog_run include/linux/filter.h:703 [inline] bpf_prog_run include/linux/filter.h:725 [inline] nf_hook_run_bpf+0x83/0x1e0 net/netfilter/nf_bpf_link.c:20 nf_hook_entry_hookfn include/linux/netfilter.h:157 [inline] nf_hook_slow+0xbb/0x200 net/netfilter/core.c:623 nf_hook+0x370/0x680 include/linux/netfilter.h:272 NF_HOOK_COND include/linux/netfilter.h:305 [inline] ip_output+0x1bc/0x2a0 net/ipv4/ip_output.c:433 dst_output include/net/dst.h:459 [inline] ip_local_out net/ipv4/ip_output.c:129 [inline] __ip_queue_xmit+0x1d7d/0x26c0 net/ipv4/ip_output.c:527 __tcp_transmit_skb+0x2686/0x3e90 net/ipv4/tcp_output.c:1479 tcp_transmit_skb net/ipv4/tcp_output.c:1497 [inline] tcp_write_xmit+0x1274/0x84e0 net/ipv4/tcp_output.c:2838 __tcp_push_pending_frames+0xaf/0x390 net/ipv4/tcp_output.c:3021 tcp_push+0x225/0x700 net/ipv4/tcp.c:759 tcp_sendmsg_locked+0x1870/0x42b0 net/ipv4/tcp.c:1359 tcp_sendmsg+0x2e/0x50 net/ipv4/tcp.c:1396 inet_sendmsg+0xb9/0x140 net/ipv4/af_inet.c:851 sock_sendmsg_nosec net/socket.c:712 [inline] __sock_sendmsg net/socket.c:727 [inline] sock_write_iter+0x4aa/0x5b0 net/socket.c:1131 new_sync_write fs/read_write.c:593 [inline] vfs_write+0x6c7/0x1150 fs/read_write.c:686 ksys_write+0x1f8/0x250 fs/read_write.c:738 do_syscall_x64 arch/x86/entry/syscall_64.c:63 [inline] do_syscall_64+0xcd/0x4c0 arch/x86/entry/syscall_64.c:94 entry_SYSCALL_64_after_hwframe+0x77/0x7f RIP: 0033:0x7fe7d365d407 Code: 48 89 fa 4c 89 df e8 38 aa 00 00 8b 93 08 03 00 00 59 5e 48 83 f8 fc 74 1a 5b c3 0f 1f 84 00 00 00 00 00 48 8b 44 24 10 0f 05 <5b> c3 0f 1f 80 00 00 00 00 83 e2 39 83 fa 08 75 de e8 23 ff ff ff RSP:

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: btusb: corrige la posible desreferencia de NULL en caso de falla de kmalloc. Evita la posible desreferencia de puntero NULL comprobando el valor de retorno de kmalloc y manejando la falla de asignación de forma adecuada.