Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/pseries: Se corrige el uso después de liberar en remove_phb_dynamic() En remove_phb_dynamic() usamos &phb->io_resource, después de haber llamado a device_unregister(&host_bridge->dev). Pero la anulación del registro puede haber liberado a phb, porque pcibios_free_controller_deferred() es la función de liberación para host_bridge. Si no hay referencias pendientes cuando llamamos a device_unregister(), phb se liberará de nosotros. Esto ha pasado desapercibido, pero con slub_debug y page_poison habilitados puede provocar un bloqueo: PID: 7574 TAREA: c0000000d492cb80 CPU: 13 COMANDO: "drmgr" #0 [c0000000e4f075a0] crash_kexec at c00000000027d7dc #1 [c0000000e4f075d0] oops_end at c000000000029608 #2 [c0000000e4f07650] __bad_page_fault at c0000000000904b4 #3 [c0000000e4f076c0] do_bad_slb_fault at c00000000009a5a8 #4 [c0000000e4f076f0] data_access_slb_common_virt en c000000000008b30 Marco de excepción de acceso a datos SLB [380]: R0: c000000000167250 R1: c0000000e4f07a00 R2: c000000002a46100 R3: c000000002b39ce8 R4: 00000000000000c0 R5: 00000000000000a9 R6: 3894674d000000c0 R7: 0000000000000000 R8: 000000000000000ff R9: 0000000000000100 R10: 6b6b6b6b6b6b6b6b R11: 0000000000008000 R12: c00000000023da80 R13: c0000009ffd38b00 R14: 0000000000000000 R15: 000000011c87f0f0 R16: 0000000000000006 R17: 0000000000000003 R18: 0000000000000002 R19: 0000000000000004 R20: 0000000000000005 R21: 000000011c87ede8 R22: 000000011c87c5a8 R23: 000000011c87d3a0 R24: 0000000000000000 R25: 0000000000000001 R26: c0000000e4f07cc8 R27: c00000004d1cc400 R28: c0080000031d00e8 R29: c00000004d23d800 R30: c00000004d1d2400 R31: c00000004d1d2540 PIP: c000000000167258 MSR: 8000000000009033 OR3: c000000000e9f474 CTR: 0000000000000000 LR: c000000000167250 XER: 0000000020040003 CCR: 0000000024088420 MQ: 0000000000000000 DAR: 6b6b6b6b6b6b6ba3 DSISR: c0000000e4f07920 Resultado de llamada al sistema: fffffffffffffff2 [NIP: release_resource+56] [LR: release_resource+48] #5 [c0000000e4f07a00] release_resource en c000000000167258 (no confiable) #6 [c0000000e4f07a30] remove_phb_dynamic en c000000000105648 #7 [c0000000e4f07ab0] dlpar_remove_slot en c0080000031a09e8 [rpadlpar_io] #8 [c0000000e4f07b50] remove_slot_store en c0080000031a0b9c [rpadlpar_io] #9 [c0000000e4f07be0] kobj_attr_store en c000000000817d8c #10 [c0000000e4f07c00] sysfs_kf_write en c00000000063e504 #11 [c0000000e4f07c20] kernfs_fop_write_iter en c00000000063d868 #12 [c0000000e4f07c70] new_sync_write en c00000000054339c #13 [c0000000e4f07d10] vfs_write en c000000000546624 #14 [c0000000e4f07d60] ksys_write en c0000000005469f4 #15 [c0000000e4f07db0] system_call_exception at c000000000030840 #16 [c0000000e4f07e10] system_call_vectored_common at c00000000000c168 Para evitarlo, podemos tomar una referencia a host_bridge->dev hasta que terminemos de usar phb. Luego, cuando eliminemos la referencia, se liberará phb.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: af_netlink: Se corrige el cambio fuera de los límites en el cálculo de la máscara de grupo Cuando se recibe un mensaje netlink, netlink_recvmsg() completa la dirección del remitente. Uno de los campos es el campo de bits de 32 bits nl_groups, que lleva el grupo de multidifusión en el que se recibió el mensaje. El bit menos significativo corresponde al grupo 1 y, por lo tanto, el grupo más alto que el campo puede representar es 32. Por encima de eso, el depurador de UB marca los intentos de cambio fuera de los límites. Los bits que terminan siendo establecidos en tal caso están definidos por la implementación, pero será un valor incorrecto distinto de cero o cero, lo que al menos no es engañoso. Haga que la última opción sea determinista estableciendo siempre en 0 para los grupos de multidifusión de número superior. Para obtener información sobre la membresía en grupos >= 32, se espera que el espacio de usuario use los mensajes de control nl_pktinfo[0], que se habilitan mediante la opción de socket NETLINK_PKTINFO. [0] https://lwn.net/Articles/147608/ La forma de desencadenar este problema es, por ejemplo, a través del monitoreo del grupo BRVLAN: # bridge monitor vlan & # ip link add name br type bridge Lo que produce la siguiente cita: UBSAN: shift-out-of-bounds in net/netlink/af_netlink.c:162:19 shift exponent 32 is too large for 32-bit type 'int'

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mptcp: Se corrigió el bloqueo debido a que tcp_tsorted_anchor se inicializó antes del lanzamiento de skb Se produjo un bloqueo al realizar una prueba de presión de mptcp: ==================================================================================== dst_release: dst:ffffa06ce6e5c058 refcnt:-1 el kernel intentó ejecutar una página protegida por NX: ¿intento de explotación? (uid: 0) ERROR: no se puede manejar la solicitud de paginación del núcleo en ffffa06ce6e5c058 PGD 190a01067 P4D 190a01067 PUD 43fffb067 PMD 22e403063 PTE 8000000226e5c063 Oops: 0011 [#1] SMP PTI CPU: 7 PID: 7823 Comm: kworker/7:0 Kdump: cargado Tainted: GE Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.2.1 04/01/2014 Seguimiento de llamadas: ? skb_release_head_state+0x68/0x100 ? skb_release_all+0xe/0x30 ? kfree_skb+0x32/0xa0 ? mptcp_sendmsg_frag+0x57e/0x750 ? __mptcp_retrans+0x21b/0x3c0 ? __switch_to_asm+0x35/0x70 ? mptcp_worker+0x25e/0x320 ? process_one_work+0x1a7/0x360 ? worker_thread+0x30/0x390 ? create_worker+0x1a0/0x1a0 ? kthread+0x112/0x130 ? kthread_flush_work_fn+0x10/0x10 ? ret_from_fork+0x35/0x40<br /> =========================================================================== En __mptcp_alloc_tx_skb, se asignó skb y se inicializará skb-&amp;gt;tcp_tsorted_anchor. En una situación de presión de memoria insuficiente, sk_wmem_schedule devolverá falso y luego kfree_skb. En este caso, skb-&amp;gt;_skb_refdst no es nulo porque _skb_refdst y tcp_tsorted_anchor están almacenados en la misma memoria y kfree_skb intentará liberar dst y provocará un bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/nldev: evitar desbordamientos por debajo de la capacidad en nldev_stat_set_counter_dynamic_doit() Este código comprueba el "índice" en busca de un límite superior, pero no comprueba los valores negativos. Cambie el tipo a unsigned para evitar desbordamientos por debajo de la capacidad.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kernel/resource: fix kfree() of bootmem memory again Desde el commit ebff7d8f270d ("mem hotunplug: fix kfree() of bootmem memory"), podríamos obtener un recurso asignado durante el arranque a través de alloc_resource(). Y es necesario liberar el recurso utilizando free_resource(). Sin embargo, muchas personas utilizan kfree directamente, lo que dará como resultado un ERROR del kernel. Para solucionar esto sin reparar cada sitio de llamada, simplemente filtre un par de bytes en ese caso especial.

Razón rechazado: esta identificación de CVE ha sido rechazada o retirada por su autoridad de numeración de CVE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: block, bfq: don&amp;#39;t move oom_bfqq Nuestro informe de prueba es un UAF: [ 2073.019181] ======================================================================= [ 2073.019188] ERROR: KASAN: use-after-free en __bfq_put_async_bfqq+0xa0/0x168 [ 2073.019191] Escritura de tamaño 8 en la dirección ffff8000ccf64128 por la tarea rmmod/72584 [ 2073.019192] [ 2073.019196] CPU: 0 PID: 72584 Comm: rmmod Kdump: cargado No contaminado 4.19.90-yk #5 [ 2073.019198] Nombre del hardware: QEMU KVM Virtual Machine, BIOS 0.0.0 02/06/2015 [ 2073.019200] Rastreo de llamadas: [ 2073.019203] dump_backtrace+0x0/0x310 [ 2073.019206] show_stack+0x28/0x38 [ 2073.019210] dump_stack+0xec/0x15c [ 2073.019216] print_address_description+0x68/0x2d0 [ 2073.019220] kasan_report+0x238/0x2f0 [ 2073.019224] __asan_store8+0x88/0xb0 [ 2073.019229] __bfq_put_async_bfqq+0xa0/0x168 [ 2073.019233] bfq_put_async_queues+0xbc/0x208 [ 2073.019236] bfq_pd_offline+0x178/0x238 [ 2073.019240] blkcg_deactivate_policy+0x1f0/0x420 [ 2073.019244] bfq_exit_queue+0x128/0x178 [ 2073.019249] blk_mq_exit_sched+0x12c/0x160 [ 2073.019252] elevator_exit+0xc8/0xd0 [ 2073.019256] blk_exit_queue+0x50/0x88 [ 2073.019259] blk_cleanup_queue+0x228/0x3d8 [ 2073.019267] null_del_dev+0xfc/0x1e0 [null_blk] [ 2073.019274] null_exit+0x90/0x114 [null_blk] [ 2073.019278] __arm64_sys_delete_module+0x358/0x5a0 [ 2073.019282] el0_svc_common+0xc8/0x320 [ 2073.019287] el0_svc_handler+0xf8/0x160 [ 2073.019290] el0_svc+0x10/0x218 [ 2073.019291] [ 2073.019294] Asignado por la tarea 14163: [ 2073.019301] kasan_kmalloc+0xe0/0x190 [ 2073.019305] kmem_cache_alloc_node_trace+0x1cc/0x418 [ 2073.019308] bfq_pd_alloc+0x54/0x118 [ 2073.019313] blkcg_activate_policy+0x250/0x460 [ 2073.019317] bfq_create_group_hierarchy+0x38/0x110 [ 2073.019321] bfq_init_queue+0x6d0/0x948 [ 2073.019325] blk_mq_init_sched+0x1d8/0x390 [ 2073.019330] elevator_switch_mq+0x88/0x170 [ 2073.019334] elevator_switch+0x140/0x270 [ 2073.019338] elv_iosched_store+0x1a4/0x2a0 [ 2073.019342] queue_attr_store+0x90/0xe0 [ 2073.019348] sysfs_kf_write+0xa8/0xe8 [ 2073.019351] kernfs_fop_write+0x1f8/0x378 [ 2073.019359] __vfs_write+0xe0/0x360 [ 2073.019363] vfs_write+0xf0/0x270 [ 2073.019367] ksys_write+0xdc/0x1b8 [ 2073.019371] __arm64_sys_write+0x50/0x60 [ 2073.019375] el0_svc_common+0xc8/0x320 [ 2073.019380] el0_svc_handler+0xf8/0x160 [ 2073.019383] el0_svc+0x10/0x218 [ 2073.019385] [ 2073.019387] Liberado por la tarea 72584: [ 2073.019391] __kasan_slab_free+0x120/0x228 [ 2073.019394] kasan_slab_free+0x10/0x18 [ 2073.019397] kfree+0x94/0x368 [ 2073.019400] bfqg_put+0x64/0xb0 [ 2073.019404] bfqg_and_blkg_put+0x90/0xb0 [ 2073.019408] bfq_put_queue+0x220/0x228 [ 2073.019413] __bfq_put_async_bfqq+0x98/0x168 [ 2073.019416] bfq_put_async_queues+0xbc/0x208 [ 2073.019420] bfq_pd_offline+0x178/0x238 [ 2073.019424] blkcg_deactivate_policy+0x1f0/0x420 [ 2073.019429] bfq_exit_queue+0x128/0x178 [ 2073.019433] blk_mq_exit_sched+0x12c/0x160 [ 2073.019437] elevator_exit+0xc8/0xd0 [ 2073.019440] blk_exit_queue+0x50/0x88 [ 2073.019443] blk_cleanup_queue+0x228/0x3d8 [ 2073.019451] null_del_dev+0xfc/0x1e0 [null_blk] [ 2073.019459] null_exit+0x90/0x114 [null_blk] [ 2073.019462] __arm64_sys_delete_module+0x358/0x5a0 [ 2073.019467] el0_svc_common+0xc8/0x320 [ 2073.019471] el0_svc_handler+0xf8/0x160 [ 2073.019474] el0_svc+0x10/0x218 [ 2073.019475] [ 2073.019479] La dirección con errores pertenece al objeto en ffff8000ccf63f00 que pertenece al caché kmalloc-1024 de tamaño 1024 [ 2073.019484] La dirección con errores se encuentra 552 bytes dentro de la región de 1024 bytes [ffff8000ccf63f00, ffff8000ccf64300) [ 2073.019486] La dirección con errores pertenece a la página: [ 2073.019492] page:ffff7e000333d800 count:1 mapcount:0 mapping:ffff8000c0003a00 index:0x0 Compound_mapcount: 0 [ 2073.020123] flags: 0x7ffff0000008100(slab|head) [ 2073.020403] raw: 07ffff0000008100 ffff7e0003334c08 ffff7e00001f5a08 ffff8000c0003a00 [ 2073.020409] ra ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: LSM: error de protección general en legacy_parse_param El esquema habitual de gancho LSM "bail on fail" no funciona para los casos en los que un módulo de seguridad puede devolver un código de error que indica que no reconoce una entrada. En este caso particular, Smack ve una opción de montaje que reconoce y devuelve 0. Sigue una llamada a un gancho BPF, que devuelve -ENOPARAM, lo que confunde al llamador porque Smack ha procesado sus datos. El gancho SELinux devuelve incorrectamente 1 en caso de éxito. Hubo un momento en que esto era correcto, sin embargo, la expectativa actual es que devuelva 0 en caso de éxito. Esto se ha reparado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: hns3: agregar bloqueo de lista de VLAN para proteger la lista de VLAN Al agregar una VLAN base de puerto, la VLAN de VF debe eliminarse de HW y modificar el estado de VLAN en la lista de VLAN de VF como falso. Si la tarea de periodicidad está liberando el mismo nodo, puede causar un error de "use-after-free". Este parche agrega un bloqueo de lista de VLAN para proteger la lista de VLAN.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/sched: act_ct: se corrige la fuga de referencia al cambiar de zona Al cambiar de zona o de espacio de nombres de red sin hacer una limpieza de ct en el medio, ahora se filtra una referencia a la entrada ct anterior. Esto se debe a que tcf_ct_skb_nfct_cached() devuelve falso y tcf_ct_flow_table_lookup() puede simplemente sobrescribirlo. La solución es, como la entrada ct no es reutilizable, liberarla ya en tcf_ct_skb_nfct_cached().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: sparx5: switchdev: se corrige la posible desreferencia de puntero NULL. Como es posible que la asignación falle, devm_kzalloc() puede devolver un puntero NULL. Por lo tanto, es mejor comprobar la &amp;#39;db&amp;#39; para evitar la desreferencia de puntero NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: nomadik: se agrega la función of_node_put() faltante en nmk_pinctrl_probe. Este puntero de nodo es devuelto por of_parse_phandle() con refcount incrementado en esta función. Se llama a of_node_put() para evitar la fuga de refcount.