Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mtd: particiones: Se corrige la fuga de recuento de referencias en parse_redboot_of. of_get_child_by_name() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: microchip: Se corrige la fuga de recuento de referencias en mc_pcie_init_irq_domains(). of_get_next_child() devuelve un puntero de nodo con el recuento de referencias incrementado, por lo que debemos usar of_node_put() cuando ya no lo necesitemos. mc_pcie_init_irq_domains() solo llama a of_node_put() en la ruta normal, y no lo detecta en algunas rutas con errores. Se añade la falta de of_node_put() para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: cp2112: evitar un desbordamiento de búfer en cp2112_xfer() Advertencias de Smatch: drivers/hid/hid-cp2112.c:793 Error de cp2112_xfer(): __memcpy() 'data->block[1]' demasiado pequeño (33 frente a 255) drivers/hid/hid-cp2112.c:793 Error de cp2112_xfer(): __memcpy() 'buf' demasiado pequeño (64 frente a 255) La variable 'read_length' la proporciona 'data->block[0]', que proviene del usuario, y puede tomar un valor entre 0 y 255. Añada un límite superior a la variable 'read_length' para evitar un desbordamiento de búfer en memcpy().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: mediatek-gen3: Se corrige la fuga de recuento de referencias en mtk_pcie_init_irq_domains(). of_get_child_by_name() devuelve un puntero de nodo con el recuento de referencias incrementado, por lo que debemos usar of_node_put() cuando ya no lo necesitemos. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: host: Se corrige la fuga de recuento de referencias en ehci_hcd_ppc_of_probe. of_find_compatible_node() devuelve un puntero de nodo con el recuento de referencias incrementado; al finalizar, se debe usar of_node_put(). Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: núcleo del controlador: corrige un posible bloqueo en __driver_attach En la función __driver_attach, también hay un problema de bloqueo AA, como el commit b232b02bf3c2 ("núcleo del controlador: corrige el bloqueo en __device_attach"). pila como el commit b232b02bf3c2 ("núcleo del controlador: corrige el bloqueo en __device_attach"). lista a continuación: En la función __driver_attach, la lógica de retención de bloqueo es la siguiente: ... __driver_attach if (driver_allows_async_probing(drv)) device_lock(dev) // obtener bloqueo dev async_schedule_dev(__driver_attach_async_helper, dev); // func async_schedule_node async_schedule_node_domain(func) entry = kzalloc(sizeof(struct async_entry), GFP_ATOMIC); /* cuando falla o hay límite de trabajo, se sincroniza para ejecutar func, pero __driver_attach_async_helper obtendrá el bloqueo dev, lo que provocará un bloqueo AA. */ if (!entry || atomic_read(&entry_count) > MAX_WORK) { func; else queue_work_node(node, system_unbound_wq, &entry->work) device_unlock(dev) Como se muestra arriba, cuando se permite hacer sondeos asincrónicos, debido a falta de memoria o límite de trabajo, no se permite el trabajo asincrónico, en su lugar se ejecuta la sincronización. Esto provocará un bloqueo AA debido a que __driver_attach_async_helper obtiene el bloqueo dev. Reproducir: y se puede reproducir haciendo que la condición (if (!entry || atomic_read(&entry_count) > MAX_WORK)) sea insostenible, como se muestra a continuación: [ 370.785650] "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" deshabilita este mensaje. [ 370.787154] tarea:swapper/0 estado:D pila: 0 pid: 1 ppid: 0 indicadores:0x00004000 [ 370.788865] Seguimiento de llamadas: [ 370.789374] [ 370.789841] __schedule+0x482/0x1050 [ 370.790613] schedule+0x92/0x1a0 [ 370.791290] schedule_preempt_disabled+0x2c/0x50 [ 370.792256] __mutex_lock.isra.0+0x757/0xec0 [ 370.793158] __mutex_lock_slowpath+0x1f/0x30 [ 370.794079] mutex_lock+0x50/0x60 [ 370.794795] __device_driver_lock+0x2f/0x70 [ 370.795677] ? driver_probe_device+0xd0/0xd0 [ 370.796576] __driver_attach_async_helper+0x1d/0xd0 [ 370.797318] ? driver_probe_device+0xd0/0xd0 [ 370.797957] async_schedule_node_domain+0xa5/0xc0 [ 370.798652] async_schedule_node+0x19/0x30 [ 370.799243] __driver_attach+0x246/0x290 [ 370.799828] ? driver_allows_async_probing+0xa0/0xa0 [ 370.800548] bus_for_each_dev+0x9d/0x130 [ 370.801132] driver_attach+0x22/0x30 [ 370.801666] bus_add_driver+0x290/0x340 [ 370.802246] driver_register+0x88/0x140 [ 370.802817] ? virtio_scsi_init+0x116/0x116 [ 370.803425] scsi_register_driver+0x1a/0x30 [ 370.804057] init_sd+0x184/0x226 [ 370.804533] do_one_initcall+0x71/0x3a0 [ 370.805107] kernel_init_freeable+0x39a/0x43a [ 370.805759] ? rest_init+0x150/0x150 [ 370.806283] kernel_init+0x26/0x230 [ 370.806799] ret_from_fork+0x1f/0x30 Para corregir el bloqueo, mueva async_schedule_dev fuera de device_lock, como podemos ver, en async_schedule_node_domain, el parámetro de queue_work_node es system_unbound_wq, por lo que puede aceptar operaciones concurrentes, lo que tampoco cambiará la lógica del código y no conducirá a un bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kernfs: se corrige una posible desreferencia de punteros NULL en __kernfs_remove. Cuando lockdep está habilitado, lockdep_assert_held_write podría causar una posible desreferencia de punteros NULL. Se corrigen las siguientes advertencias de coincidencia: fs/kernfs/dir.c:1353 __kernfs_remove() warn: variable desreferenciada antes de la comprobación 'kn' (véase la línea 1346).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/mempolicy: corrige el acceso fuera de los límites a get_nodes. Cuando el usuario especifica más nodos de los admitidos, get_nodes accederá a la matriz nmask fuera de los límites.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: dwc: Desasignar memoria EPC en errores de dw_pcie_ep_init(). Si dw_pcie_ep_init() no realiza ninguna acción después de inicializar la memoria EPC y asignar la región de memoria MSI, estas últimas acciones no se desharán, lo que provocará una fuga de memoria. Se ha añadido una ruta de limpieza en caso de error para corregir estas fugas. [bhelgaas: registro de confirmaciones]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: intel_th: msu: Reparar búferes vmalloced Después de el commit f5ff79fddf0e ("dma-mapping: remove CONFIG_DMA_REMAP") existe la posibilidad de que el buffer DMA se asigne a través de vmalloc(), lo que arruina el código mmapping: > RIP: msc_mmap_fault [intel_th_msu] > Rastreo de llamada: > > __do_fault > do_fault ... Solucione esto teniendo en cuenta la posibilidad de vmalloc.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mmc: sdhci-of-esdhc: Se corrige la fuga de recuento de referencias en esdhc_signal_voltage_switch. of_find_matching_node() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias. of_node_put() comprueba el puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dmaengine: sf-pdma: Agregar soporte multihilo para un canal DMA Cuando obtenemos un canal DMA e intentamos usarlo en múltiples subprocesos, provocará errores y colgará el sistema. % echo 64 > /sys/module/dmatest/parameters/threads_per_chan % echo 10000 > /sys/module/dmatest/parameters/iterations % echo 1 > /sys/module/dmatest/parameters/run [ 89.480664] No se puede manejar la desreferencia del puntero NULL del núcleo en la dirección virtual 00000000000000a0 [ 89.488725] Ups [#1] [ 89.494708] CPU: 2 PID: 1008 Comm: dma0chan0-copy0 No contaminado 5.17.0-rc5 [ 89.509385] epc : vchan_find_desc+0x32/0x46 [ 89.513553] ra : sf_pdma_tx_status+0xca/0xd6 Esto ocurre debido a la ejecución de datos. Cada hilo reescribe el descriptor del canal en cuanto se llama a device_prep_dma_memcpy(). Esto provoca que el controlador crea que está usando el descriptor correcto, pero en realidad se libera o sustituye a otro. Con las correcciones actuales, un descriptor cambia su valor solo cuando se ha usado. Se obtiene un nuevo descriptor de la cola vc->desc_issued, que ya contiene descriptores listos para enviarse. Los hilos no tienen acceso directo al descriptor del canal DMA. Ahora solo es posible poner en cola un descriptor para su posterior procesamiento.