Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ovl: corrección de fuga de archivo temporal No se pudo realizar una limpieza de errores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915: Se solucionó una fuga de memoria con la reutilización de mmap_offset. drm_vma_node_allow() y drm_vma_node_revoke() deben llamarse en pares equilibrados. Se llama a drm_vma_node_allow() una vez por archivo cada vez que un usuario llama a mmap_offset, pero solo se llama a drm_vma_node_revoke una vez por archivo en cada mmap_offset. Dado que el cliente reutiliza mmap_offset, el valor de vm_count por archivo puede ser distinto de cero y el árbol rb se filtra. En su lugar, se llama a drm_vma_node_allow_once() para evitar esta fuga de memoria.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: EDAC/qcom: No pasar llcc_driv_data como pvt_info de edac_device_ctl_info. El controlador LLCC asigna memoria para llcc_driv_data. Sin embargo, al pasarla como información privada del controlador al núcleo de EDAC, se libera durante la liberación del controlador qcom_edac. Por lo tanto, al volver a probar el controlador qcom_edac, intentará usar los datos liberados, lo que provoca el error de use-after-free. Por lo tanto, no pasar llcc_driv_data como pvt_info, sino referenciarlo mediante el puntero platform_data en el controlador qcom_edac.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: trace_events_hist: se ha añadido una comprobación del valor de retorno de 'create_hist_field'. La función 'create_hist_field' se llama recursivamente en trace_events_hist.c:1954 y puede devolver un valor nulo. Por ello, es necesario comprobarla para evitar la desreferencia de punteros nulos. Encontrada por el Centro de Verificación de Linux (linuxtesting.org) con SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cifs: corrige posibles fugas de memoria en la configuración de la sesión. Asegúrese de liberar cifs_ses::auth_key.response antes de asignarlo, ya que podríamos terminar perdiendo memoria durante la reconexión o el montaje.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: fec: Usar page_pool_put_full_page al liberar búferes rx Se usó page_pool_release_page al liberar búferes rx, y esta función solo desasigna la página (si está asignada) y no la recicla. Entonces, después de cientos de subidas y bajadas de eth0, el sistema se quedará sin memoria. Para obtener más detalles, consulte los siguientes pasos de reproducción y los registros de errores. Para resolver este problema y consultar la documentación del grupo de páginas, se debe usar page_pool_put_full_page para reemplazar page_pool_release_page. Porque esta API intentará reciclar la página si la referencia de la página es igual a 1. Después de probar 20000 veces, el problema ya no se puede reproducir (aproximadamente 391 veces que se probó el problema en i.MX8MN-EVK antes). Pasos de reproducción: Cree el script de prueba y ejecútelo. El contenido del script es el siguiente: LOOPS=20000 i=1 while [ $i -le $LOOPS ] do echo "TINFO:ENET $curface up and down test $i times" org_macaddr=$(cat /sys/class/net/eth0/address) ifconfig eth0 down ifconfig eth0 hw ether $org_macaddr up i=$(expr $i + 1) done sleep 5 if cat /sys/class/net/eth0/operstate | grep 'up';then echo "TEST PASS" else echo "TEST FAIL" fi Registros de detalles de errores: TINFO: prueba de ENET activada y desactivada 391 veces [850.471205] Qualcomm Atheros AR8031/AR8033 30be0000.ethernet-1:00: controlador PHY conectado (mii_bus:phy_addr=30be0000.ethernet-1:00, irq=POLL) [853.535318] IPv6: ADDRCONF(NETDEV_CHANGE): eth0: el enlace está listo [853.541694] fec 30be0000.ethernet eth0: el enlace está activo - 1 Gbps/completo - control de flujo rx/tx [870.590531] page_pool_release_retry() apagado del grupo estancado 199 durante el vuelo 60 s [931.006557] page_pool_release_retry() apagado del grupo detenido 199 durante el vuelo 120 s TINFO:ENET prueba de subida y bajada 392 veces [991.426544] page_pool_release_retry() apagado del grupo detenido 192 durante el vuelo 181 s [1051.838531] page_pool_release_retry() apagado del grupo detenido 170 durante el vuelo 241 s [1093.751217] Qualcomm Atheros AR8031/AR8033 30be0000.ethernet-1:00: controlador PHY conectado (mii_bus:phy_addr=30be0000.ethernet-1:00, irq=POLL) [1096.446520] page_pool_release_retry() apagado de grupo estancado 308 en vuelo 60 seg [ 1096.831245] fec 30be0000.ethernet eth0: Enlace activo - 1 Gbps/completo - control de flujo rx/tx [ 1096.839092] IPv6: ADDRCONF(NETDEV_CHANGE): eth0: enlace listo [ 1112.254526] page_pool_release_retry() apagado de grupo estancado 103 en vuelo 302 seg [ 1156.862533] page_pool_release_retry() apagado de grupo estancado 308 en vuelo 120 seg [ 1172.674516] page_pool_release_retry() apagado de grupo estancado 103 en vuelo 362 seg [ 1217.278532] page_pool_release_retry() detuvo el apagado del grupo 308 durante el vuelo 181 s TINFO:ENET prueba de subida y bajada 393 veces [ 1233.086535] page_pool_release_retry() detuvo el apagado del grupo 103 durante el vuelo 422 s [ 1277.698513] page_pool_release_retry() detuvo el apagado del grupo 308 durante el vuelo 241 s [ 1293.502525] page_pool_release_retry() detuvo el apagado del grupo 86 durante el vuelo 483 s [ 1338.110518] page_pool_release_retry() detuvo el apagado del grupo 308 durante el vuelo 302 s [ 1353.918540] page_pool_release_retry() detuvo el apagado del grupo 32 durante el vuelo 543 seg [1361.179205] Qualcomm Atheros AR8031/AR8033 30be0000.ethernet-1:00: controlador PHY conectado (mii_bus:phy_addr=30be0000.ethernet-1:00, irq=POLL) [1364.255298] fec 30be0000.ethernet eth0: el enlace está activo - 1 Gbps/completo - control de flujo rx/tx [1364.263189] IPv6: ADDRCONF(NETDEV_CHANGE): eth0: el enlace está listo [1371.998532] page_pool_release_retry() apagado del grupo detenido 310 en vuelo 60 seg [1398.530542] page_pool_release_retry() apagado del grupo detenido 308 en vuelo 362 seg [1414.334539] page_pool_release_retry() apagado del grupo detenido 16 en vuelo 604 seg [1432.414520] page_pool_release_retry() apagado del grupo ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: riscv/kprobe: Se corrige la simulación de instrucción de JALR. Establecer kprobe en 'jalr 1140(ra)' de vfs_write da como resultado el siguiente fallo: [32.092235] No se puede controlar el acceso del kernel a la memoria del usuario sin rutinas uaccess en la dirección virtual 00aaaaaad77b1170 [32.093115] Ups [#1] [32.093251] Módulos vinculados en: [32.093626] CPU: 0 PID: 135 Comm: ftracetest No contaminado 6.2.0-rc2-00013-gb0aa5e5df0cb-dirty #16 [32.093985] Nombre del hardware: riscv-virtio,qemu (DT) [ [32.094280] epc : ksys_read+0x88/0xd6 [ 32.094855] ra : ksys_read+0xc0/0xd6 [ 32.095016] epc : ffffffff801cda80 ra : ffffffff801cdab8 sp : ff20000000d7bdc0 [ 32.095227] gp : ffffffff80f14000 tp : ff60000080f9cb40 t0 : ffffffff80f13e80 [ 32.095500] t1 : ffffffff8000c29c t2 : ffffffff800dbc54 s0 : ff20000000d7be60 [32.095716] s1: 0000000000000000 a0: ffffffff805a64ae a1: ffffffff80a83708 [32.095921] a2: ffffffff80f160a0 a3: 0000000000000000 a4: f229b0afdb165300 [32.096171] a5: f229b0afdb165300 a6: ffffffff80eeebd0 a7: 00000000000003ff [32.096411] s2: ff6000007ff76800 s3: ffffffffffffff7 s4: 00aaaaaad77b1170 [32.096638] s5: ffffffff80f160a0 s6: ff6000007ff76800 s7: 00000000000000030 [32.096865] s8: 00ffffffc3d97be0 s9: 0000000000000007 s10: 00aaaaaad77c9410 [32.097092] s11: 0000000000000000 t3: ffffffff80f13e48 t4 : ffffffff8000c29c [ 32.097317] t5 : ffffffff8000c29c t6 : ffffffff800dbc54 [ 32.097505] estado: 0000000200000120 dirección incorrecta: 00aaaaaad77b1170 causa: 000000000000000d [ 32.098011] [] ksys_write+0x6c/0xd6 [ 32.098222] [] sys_write+0x2a/0x38 [ 32.098405] [] ret_from_syscall+0x0/0x2 Dado que rs1 y rd podrían ser el mismo, como 'jalr 1140(ra)', se requiere obtener la dirección de destino de rs1 y luego actualizar rd. [Palmer: Limpieza de Pick Guo]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netlink: evitar posibles gadgets de Spectre v1 La mayoría de los atributos de netlink se analizan y validan desde __nla_validate_parse() o validate_nla() u16 type = nla_type(nla); if (type == 0 || type > maxtype) { /* error or continue */ } @type se usa entonces como un índice de matriz y puede usarse como un gadget de Spectre v1. array_index_nospec() puede usarse para evitar la filtración de contenido de la memoria del kernel a usuarios maliciosos. Esto debería solucionar la gran mayoría de los usos de netlink, pero se necesita una auditoría para encargarse de otros donde la validación aún no está centralizada en las funciones principales de netlink.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv4: evitar un potencial gadget spectre v1 en ip_metrics_convert() if (!type) continue; if (type > RTAX_MAX) return -EINVAL; ... metrics[type - 1] = val; @type se utiliza como un índice de matriz, debemos evitar la especulación de la CPU o el riesgo de filtrar el contenido de la memoria del kernel.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv4: evitar un potencial gadget spectre v1 en fib_metrics_match() if (!type) continue; if (type > RTAX_MAX) return false; ... fi_val = fi->fib_metrics->metrics[type - 1]; @type se utiliza como un índice de matriz, debemos evitar la especulación de la CPU o corremos el riesgo de filtrar el contenido de la memoria del kernel.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/drm_vma_manager: Añadir drm_vma_node_allow_once(). Actualmente, no existe una forma sencilla para que un controlador drm verifique y permita de forma segura drm_vma_offset_node para un archivo drm solo una vez. Se debe permitir que los controladores drm invoquen una versión sin referencia de drm_vma_node_allow() para que el controlador no tenga que registrar cada drm_vma_node_allow() para invocar drm_vma_node_revoke() subsiguiente y así evitar fugas de memoria.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: corrige UaF en la ruta de error de registro de operaciones de netns Si net_assign_generic() falla, la ruta de error actual en ops_init() intenta borrar la ranura del puntero gen. De todas formas, en dicha ruta de error, el puntero gen en sí no se ha modificado aún, y el existente y al que se ha accedido es más pequeño que el índice accedido, lo que provoca un error fuera de los límites: BUG: KASAN: slab-out-of-bounds en ops_init+0x2de/0x320 Escritura de tamaño 8 en la dirección ffff888109124978 por la tarea modprobe/1018 CPU: 2 PID: 1018 Comm: modprobe No contaminado 6.2.0-rc2.mptcp_ae5ac65fbed5+ #1641 Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.1-2.fc37 04/01/2014 Rastreo de llamadas: dump_stack_lvl+0x6a/0x9f print_address_description.constprop.0+0x86/0x2b5 print_report+0x11b/0x1fb kasan_report+0x87/0xc0 ops_init+0x2de/0x320 register_pernet_operations+0x2e4/0x750 register_pernet_subsys+0x24/0x40 tcf_register_action+0x9f/0x560 do_one_initcall+0xf9/0x570 do_init_module+0x190/0x650 load_module+0x1fa5/0x23c0 __do_sys_finit_module+0x10d/0x1b0 do_syscall_64+0x58/0x80 entry_SYSCALL_64_after_hwframe+0x72/0xdc RIP: 0033:0x7f42518f778d Code: 00 c3 66 2e 0f 1f 84 00 00 00 00 00 90 f3 0f 1e fa 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 8b 0d cb 56 2c 00 f7 d8 64 89 01 48 RSP: 002b:00007fff96869688 EFLAGS: 00000246 ORIG_RAX: 0000000000000139 RAX: ffffffffffffffda RBX: 00005568ef7f7c90 RCX: 00007f42518f778d RDX: 0000000000000000 RSI: 00005568ef41d796 RDI: 0000000000000003 RBP: 00005568ef41d796 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000003 R11: 0000000000000246 R12: 0000000000000000 R13: 00005568ef7f7d30 R14: 0000000000040000 R15: 0000000000000000 Este cambio soluciona el problema omitiendo la desreferencia del puntero gen en la ruta de error mencionada. Se detectó mediante inspección de código y se verificó con inyección de error explícita en un kernel con kasan habilitado.