Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tools/power turbostat: Corrección de fuga de puntero de archivo. Actualmente, si un fscanf falla, un retorno anticipado filtra un puntero de archivo abierto. Se soluciona cerrando el archivo antes del retorno. Detectado mediante análisis estático con cppcheck: tools/power/x86/turbostat/turbostat.c:2039:3: error: Fuga de recursos: fp [resourceLeak]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: erofs: despierta a todos los que esperan después de que z_erofs_lzma_head esté listo Cuando el usuario monta erofs por segunda vez, el hilo de descompresión puede colgarse. El problema ocurre debido a una secuencia de pasos como la siguiente: 1) La tarea A llamó a z_erofs_load_lzma_config que obtiene todos los nodos de z_erofs_lzma_head. 2) En este momento, la tarea B llamó a z_erofs_lzma_decompress y quiso obtener un nodo. Pero z_erofs_lzma_head estaba vacío, la tarea B tuvo que dormir. 3) La tarea A libera nodos y los empuja hacia z_erofs_lzma_head. Pero la tarea B seguía durmiendo. Un ejemplo de informe cuando se produce el bloqueo: tarea:kworker/u3:1 estado:D pila:14384 pid: 86 ppid: 2 indicadores:0x00004000 Cola de trabajo: erofs_unzipd z_erofs_decompressqueue_work Seguimiento de llamadas: __schedule+0x281/0x760 schedule+0x49/0xb0 z_erofs_lzma_decompress+0x4bc/0x580 ? cpu_core_flags+0x10/0x10 z_erofs_decompress_pcluster+0x49b/0xba0 ? __update_load_avg_se+0x2b0/0x330 ? __update_load_avg_se+0x2b0/0x330 ? update_load_avg+0x5f/0x690 ? update_load_avg+0x5f/0x690 ? set_next_entity+0xbd/0x110 ? _raw_spin_unlock+0xd/0x20 z_erofs_decompress_queue.isra.0+0x2e/0x50 z_erofs_decompressqueue_work+0x30/0x60 process_one_work+0x1d3/0x3a0 worker_thread+0x45/0x3a0 ? process_one_work+0x3a0/0x3a0 kthread+0xe2/0x110 ? kthread_complete_and_exit+0x20/0x20 ret_from_fork+0x22/0x30

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: spi: tegra20-slink: corrección del UAF en tegra_slink_remove(). Tras llamar a spi_unregister_master(), el recuento de referencias del master se reduce a 0 y se libera en spi_controller_release(). Los datos del dispositivo también se liberan, por lo que se generará un UAF al usar 'tspi'. Para solucionar esto, obtenga el master antes de anular el registro y colóquelo al finalizar su uso.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: regulator: of: Se corrige el error de pérdida de recuento de referencias en of_get_regulation_constraints() Deberíamos llamar a of_node_put() para la referencia devuelta por of_get_child_by_name() que ha aumentado el recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: spi: Corrección de la simplificación de devm_spi_register_controller. Esto revierte el commit 59ebbe40fb51 ("spi: simplificar devm_spi_register_controller"). Si devm_add_action() falla en devm_add_action_or_reset(), se llamará a devm_spi_unregister(), lo que reduce el recuento de referencias de 'ctlr->dev' a 0 y, en consecuencia, causará un error uaf en los controladores que llaman a spi_put_controller() en la ruta de error.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/meson: Se corrige la fuga de recuento de referencias en meson_encoder_hdmi_init. La referencia de of_find_device_by_node() se toma; debemos usar put_device() para liberarla cuando ya no sea necesaria. Se añade la falta de put_device() en la ruta de error para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: corrección de netdev open race. Asegúrese de asignar los recursos necesarios antes de registrar el dispositivo. Esto evita que un open() de ejecución active un BUG_ON() en mod_timer() cuando se llama ath11k_mac_op_start() antes de configurar mon_reap_timer. No observé este problema con next-20220310, pero sí lo encontré en cada sondeo con next-20220511. Quizás se produjo algún cambio de sincronización entre ambos. Aquí está el backtrace: [51.346947] ¡ERROR del kernel en kernel/time/timer.c:990! [ 51.346958] Error interno: Ups - ERROR: 0 [#1] PREEMPT SMP ... [ 51.578225] Rastreo de llamadas: [ 51.583293] __mod_timer+0x298/0x390 [ 51.589518] mod_timer+0x14/0x20 [ 51.595368] ath11k_mac_op_start+0x41c/0x4a0 [ath11k] [ 51.603165] drv_start+0x38/0x60 [mac80211] [ 51.610110] ieee80211_do_open+0x29c/0x7d0 [mac80211] [ 51.617945] ieee80211_open+0x60/0xb0 [mac80211] [ 51.625311] __dev_open+0x100/0x1c0 [ 51.631420] __dev_change_flags+0x194/0x210 [ 51.638214] dev_change_flags+0x24/0x70 [ 51.644646] do_setlink+0x228/0xdb0 [ 51.650723] __rtnl_newlink+0x460/0x830 [ 51.657162] rtnl_newlink+0x4c/0x80 [ 51.663229] rtnetlink_rcv_msg+0x124/0x390 [ 51.669917] netlink_rcv_skb+0x58/0x130 [ 51.676314] rtnetlink_rcv+0x18/0x30 [ 51.682460] netlink_unicast+0x250/0x310 [ 51.688960] netlink_sendmsg+0x19c/0x3e0 [ 51.695458] ____sys_sendmsg+0x220/0x290 [ 51.701938] ___sys_sendmsg+0x7c/0xc0 [ 51.708148] __sys_sendmsg+0x68/0xd0 [ 51.714254] __arm64_sys_sendmsg+0x28/0x40 [ 51.720900] invoke_syscall+0x48/0x120 Tested-on: WCN6855 hw2.0 PCI WLAN.HSP.1.1-03125-QCAHSPSWPL_V1_V2_SILICONZ_LITE-3

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ath11k: se corrige la falta de eliminación de skb en el error htc_tx_completion. En el error htc_tx_completion, el skb no se elimina. Esto es incorrecto, ya que la lógica de completion_handler espera que el skb se consuma de todas formas, incluso cuando se produce un error. No liberar el skb en caso de error supone una fuga de memoria, ya que no se liberará en ningún otro lugar. Libere correctamente el paquete en eid >= ATH11K_HTC_EP_COUNT antes de regresar. Probado en: IPQ8074 hw2.0 AHB WLAN.HK.2.5.0.1-01208-QCAHKSWPL_SILICONZ-1

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/radeon: corrige un desbordamiento de búfer potencial en ni_set_mc_special_registers() La última etiqueta de caso puede escribir dos búferes 'mc_reg_address[j]' y 'mc_data[j]' con el desplazamiento 'j' igual a SMC_NISLANDS_MC_REGISTER_ARRAY_SIZE ya que no hay comprobaciones para este valor en ambas etiquetas de caso después del último 'j++'. En lugar de cambiar ">" a ">=" allí, agregue la comprobación de los límites al comienzo del segundo 'caso' (el primero ya lo tiene). Además, elimine las últimas comprobaciones redundantes para el índice 'j' mayor que el tamaño del arreglo. La expresión siempre es falsa. Además, antes o después del parche 'table->last' puede ser igual a SMC_NISLANDS_MC_REGISTER_ARRAY_SIZE y parece que puede ser un valor válido. Detectado usando la herramienta de análisis estático - Svace.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: iwlegacy: 4965: se corrige un posible desbordamiento de un byte en il4965_rs_fill_link_cmd(). Como resultado de la ejecución del bucle while interno, el valor de 'idx' puede ser igual a LINK_QUAL_MAX_RETRY_NUM. Sin embargo, esto no se comprueba después del bucle y 'idx' se usa para escribir la matriz de tamaño LINK_QUAL_MAX_RETRY_NUM 'lq_cmd->rs_table[idx]' debajo en el bucle externo. La solución es comprobar el nuevo valor de 'idx' dentro del bucle anidado y romper ambos bucles si el índice es igual al tamaño. Comprobarlo al principio ahora no tiene sentido, así que vamos a eliminarlo. Detectado usando la herramienta de análisis estático - Svace.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/meson: encoder_hdmi: Se corrige la fuga de recuento de referencias en meson_encoder_hdmi_init. `of_graph_get_remote_node()` devuelve el puntero de nodo del dispositivo remoto con el recuento de referencias incrementado. Deberíamos usar `of_node_put()` al finalizar. Se ha añadido la función `of_node_put()` que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/meson: encoder_cvbs: Se corrige la fuga de recuento de referencias en meson_encoder_cvbs_init. `of_graph_get_remote_node()` devuelve el puntero de nodo del dispositivo remoto con el recuento de referencias incrementado. Deberíamos usar `of_node_put()` al finalizar. Se ha añadido la función `of_node_put()` que falta para evitar la fuga de recuento de referencias.