Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: deshabilitar la compatibilidad con SCO si READ_VOICE_SETTING no es compatible o está roto. Una conexión SCO sin el voice_setting adecuado puede provocar que el controlador se bloquee.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: No trate el conector wb como físico en create_validate_stream_for_sink. No intente operar en un drm_wb_connector como un amdgpu_dm_connector. Aunque desreferenciar aconnector->base funciona, es incorrecto y podría provocar problemas desconocidos. Simplemente... no lo haga.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: usbhid: Elimina el error recurrente fuera de los límites en usbhid_parse() Actualiza la estructura hid_descriptor para reflejar mejor las partes obligatorias y opcionales del descriptor HID según la especificación USB HID 1.11. Nota: el kernel actualmente no analiza ningún descriptor de clase HID opcional, solo el descriptor de informe obligatorio. Actualiza todas las referencias al elemento miembro desc[0] a rpt_desc. Agrega una prueba para verificar que los valores de bLength y bNumDescriptors sean válidos. Reemplaza el bucle for con acceso directo al miembro descriptor de clase HID obligatorio para el descriptor de informe. Esto elimina la posibilidad de obtener un fallo fuera de los límites. Agrega un mensaje de advertencia si el descriptor HID contiene algún descriptor de clase HID opcional no compatible.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: VMCI: corregir la ejecución entre vmci_host_setup_notify y vmci_ctx_unset_notify Durante nuestra prueba, se encontró que se puede activar una advertencia en try_grab_folio de la siguiente manera: ------------[ cortar aquí ]------------ ADVERTENCIA: CPU: 0 PID: 1678 en mm/gup.c:147 try_grab_folio+0x106/0x130 Módulos vinculados: CPU: 0 UID: 0 PID: 1678 Comm: syz.3.31 No contaminado 6.15.0-rc5 #163 PREEMPT(undef) RIP: 0010:try_grab_folio+0x106/0x130 Rastreo de llamadas: follow_huge_pmd+0x240/0x8e0 follow_pmd_mask.constprop.0.isra.0+0x40b/0x5c0 follow_pud_mask.constprop.0.isra.0+0x14a/0x170 follow_page_mask+0x1c2/0x1f0 __get_user_pages+0x176/0x950 __gup_longterm_locked+0x15b/0x1060 ? gup_fast+0x120/0x1f0 gup_fast_fallback+0x17e/0x230 get_user_pages_fast+0x5f/0x80 vmci_host_unlocked_ioctl+0x21c/0xf80 RIP: 0033:0x54d2cd ---[ fin del seguimiento 000000000000000 ]--- Al analizar el código fuente, es posible que context->notify_page se inicialice mediante get_user_pages_fast, lo que se puede observar en vmci_ctx_unset_notify, que intentará ejecutar put_page. Sin embargo, get_user_pages_fast no ha finalizado y genera la siguiente advertencia try_grab_folio. La condición de ejecución se muestra de la siguiente manera: cpu0 cpu1 vmci_host_do_set_notify vmci_host_setup_notify get_user_pages_fast(uva, 1, FOLL_WRITE, &context->notify_page); lockless_pages_from_mm gup_pgd_range gup_huge_pmd // actualizar &context->notify_page vmci_host_do_set_notify vmci_ctx_unset_notify notify_page = context->notify_page; if (notify_page) put_page(notify_page); // la página está liberada __gup_longterm_locked __get_user_pages follow_trans_huge_pmd try_grab_folio // advertir aquí Para solucionar esto, use la variable local page para hacer que notify_page se pueda ver después de finalizar get_user_pages_fast.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/iopl: Solucionar inconsistencias de TIF_IO_BITMAP. io_bitmap_exit() se invoca desde exit_thread() cuando existe una tarea o cuando falla una bifurcación. En este último caso, exit_thread() limpia los recursos asignados durante fork(). io_bitmap_exit() invoca task_update_io_bitmap(), que a su vez termina en tss_update_io_bitmap(). tss_update_io_bitmap() opera en la tarea actual. Si la tarea actual tiene TIF_IO_BITMAP configurado, pero no hay ningún mapa de bits instalado, tss_update_io_bitmap() se bloquea con una desreferencia de puntero NULL. Hay dos problemas que conducen a este problema: 1) io_bitmap_exit() no debería invocar task_update_io_bitmap() cuando la tarea, que se limpia, no es la tarea actual. Esto es un indicador claro de una limpieza después de un fork() fallido. 2) Una tarea no debe tener TIF_IO_BITMAP establecido ni un mapa de bits instalado ni el nivel de emulación IOPL 3 activado. Esto sucede cuando se crea un hilo del kernel en el contexto de un hilo del espacio de usuario, que tiene TIF_IO_BITMAP establecido a medida que se copian los indicadores del hilo y se borra el puntero del mapa de bits de E/S. Aparte del caso del fork() fallido, esto no tiene impacto porque los hilos del kernel, incluidos los trabajadores de E/S, nunca vuelven al espacio de usuario y, por lo tanto, nunca invocan tss_update_io_bitmap(). Solucione esto añadiendo las limpiezas y comprobaciones que faltan: 1) Evite que io_bitmap_exit() invoque task_update_io_bitmap() si la tarea que se va a limpiar no es la tarea actual. 2) Borre TIF_IO_BITMAP en copy_thread() incondicionalmente. Para las bifurcaciones del espacio de usuario, se establece más tarde, cuando el mapa de bits de E/S se hereda en io_bitmap_share(). Por el bien de la paranoia, agregue una advertencia en tss_update_io_bitmap() para detectar el caso en el que ese código se invoca con un estado inconsistente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: espintcp: eliminar el almacenamiento en caché del socket encap para evitar fugas de referencia El esquema actual para almacenar en caché el socket encap puede provocar fugas de referencia cuando intentamos eliminar los netns. La cadena de referencia es: xfrm_state -> enacp_sk -> netns Dado que el socket encap es un socket de espacio de usuario, contiene una referencia en los netns. Si eliminamos el estado de espintcp (a través de vaciado o eliminación individual) antes de eliminar los netns, la referencia en el socket se elimina y los netns se eliminan correctamente. De lo contrario, los netns pueden no ser accesibles más (si todos los procesos dentro de los ns han terminado), por lo que no podemos eliminar el estado xfrm para eliminar su referencia en el socket. Este parche da como resultado una pequeña regresión del rendimiento (~2% en mis pruebas). Se podría agregar un mecanismo de tipo GC para el caché del socket, para borrar referencias si el estado no se ha usado "recientemente", pero es mucho más complejo que simplemente no almacenar en caché el socket.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: iwlwifi: no avisa si hay un error de firmware. iwl_trans_reclaim avisa si se ejecuta cuando el firmware no está activo. Sin embargo, si se ejecuta cuando hay un reinicio pendiente, es decir, después de un error de firmware, no es necesario avisar; en su lugar, regresa silenciosamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dma-buf: inserta una barrera de memoria antes de actualizar num_fences. smp_store_mb() inserta una barrera de memoria después de la operación de almacenamiento. Esto difiere del objetivo original del comentario, por lo que puede producirse una desreferencia de puntero nulo si se reordena la actualización de memoria.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: cadence: macb: Se corrige un posible interbloqueo en macb_halt_tx. Existe una situación en la que, tras establecerse un valor alto en THALT, TGO también permanece alto. Dado que los jiffies nunca se actualizan, al estar en un contexto con las interrupciones deshabilitadas, nunca salimos de ese bucle y se produce un interbloqueo. Este interbloqueo se detectó en un dispositivo sama5d4 que permaneció bloqueado durante días. Se recomienda usar reintentos en lugar de jiffies para que el tiempo de espera funcione correctamente y se elimine el interbloqueo.

El complemento PeepSo Core: Groups para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del campo Descripción del Grupo en todas las versiones hasta la 6.4.6.0 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.

El complemento Element Pack Addons para Elementor de WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo "data-caption" en todas las versiones hasta la 8.0.0 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.

Zulip es una aplicación de chat en equipo de código abierto. Desde la versión 2.0.0-rc1 hasta la anterior a la 10.4 en Zulip Server, la URL /digest/ de un servidor muestra una vista previa del contenido del resumen semanal por correo electrónico. Esta URL, aunque no el resumen en sí, contiene una vulnerabilidad de cross-site scripting (XSS) tanto en los nombres de los temas como en los de los canales. Este problema se ha solucionado en Zulip Server 10.4. Una solución alternativa consiste en denegar el acceso a /digest/.