Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: blk-throttle: Establecer BIO_THROTTLED cuando bio ha sido limitado 1. En el proceso actual, todos los bio establecerán el indicador BIO_THROTTLED después de __blk_throtl_bio(). 2. Si es necesario limitar bio, iniciará el temporizador y detendrá el envío de bio directamente. Bio se enviará en blk_throtl_dispatch_work_fn() cuando expire el temporizador. Pero en el proceso actual, si bio está limitado. BIO_THROTTLED se establecerá en bio después del inicio del temporizador. Si el bio se ha completado, puede causar una explosión de use-after-free. ERROR: KASAN: use-after-free in blk_throtl_bio+0x12f0/0x2c70 Read of size 2 at addr ffff88801b8902d4 by task fio/26380 dump_stack+0x9b/0xce print_address_description.constprop.6+0x3e/0x60 kasan_report.cold.9+0x22/0x3a blk_throtl_bio+0x12f0/0x2c70 submit_bio_checks+0x701/0x1550 submit_bio_noacct+0x83/0xc80 submit_bio+0xa7/0x330 mpage_readahead+0x380/0x500 read_pages+0x1c1/0xbf0 page_cache_ra_unbounded+0x471/0x6f0 do_page_cache_ra+0xda/0x110 ondemand_readahead+0x442/0xae0 page_cache_async_ra+0x210/0x300 generic_file_buffered_read+0x4d9/0x2130 generic_file_read_iter+0x315/0x490 blkdev_read_iter+0x113/0x1b0 aio_read+0x2ad/0x450 io_submit_one+0xc8e/0x1d60 __se_sys_io_submit+0x125/0x350 do_syscall_64+0x2d/0x40 entry_SYSCALL_64_after_hwframe+0x44/0xa9 Allocated by task 26380: kasan_save_stack+0x19/0x40 __kasan_kmalloc.constprop.2+0xc1/0xd0 kmem_cache_alloc+0x146/0x440 mempool_alloc+0x125/0x2f0 bio_alloc_bioset+0x353/0x590 mpage_alloc+0x3b/0x240 do_mpage_readpage+0xddf/0x1ef0 mpage_readahead+0x264/0x500 read_pages+0x1c1/0xbf0 page_cache_ra_unbounded+0x471/0x6f0 do_page_cache_ra+0xda/0x110 ondemand_readahead+0x442/0xae0 page_cache_async_ra+0x210/0x300 generic_file_buffered_read+0x4d9/0x2130 generic_file_read_iter+0x315/0x490 blkdev_read_iter+0x113/0x1b0 aio_read+0x2ad/0x450 io_submit_one+0xc8e/0x1d60 __se_sys_io_submit+0x125/0x350 do_syscall_64+0x2d/0x40 entry_SYSCALL_64_after_hwframe+0x44/0xa9 Freed by task 0: kasan_save_stack+0x19/0x40 kasan_set_track+0x1c/0x30 kasan_set_free_info+0x1b/0x30 __kasan_slab_free+0x111/0x160 kmem_cache_free+0x94/0x460 mempool_free+0xd6/0x320 bio_free+0xe0/0x130 bio_put+0xab/0xe0 bio_endio+0x3a6/0x5d0 blk_update_request+0x590/0x1370 scsi_end_request+0x7d/0x400 scsi_io_completion+0x1aa/0xe50 scsi_softirq_done+0x11b/0x240 blk_mq_complete_request+0xd4/0x120 scsi_mq_done+0xf0/0x200 virtscsi_vq_done+0xbc/0x150 vring_interrupt+0x179/0x390 __handle_irq_event_percpu+0xf7/0x490 handle_irq_event_percpu+0x7b/0x160 handle_irq_event+0xcc/0x170 handle_edge_irq+0x215/0xb20 common_interrupt+0x60/0x120 asm_common_interrupt+0x1e/0x40 Fix this by move BIO_THROTTLED set into the queue_lock.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvdimm: Se corrigen los escenarios de bloqueo de activación de firmware Lockdep informa los siguientes escenarios de bloqueo para la administración de energía del dispositivo raíz CXL, device_prepare(), operaciones y operaciones device_shutdown() para dispositivos 'nd_region': Existe una cadena de: &nvdimm_region_key --> &nvdimm_bus->reconfig_mutex --> system_transition_mutex Possible unsafe locking scenario: CPU0 CPU1 ---- ---- lock(system_transition_mutex); lock(&nvdimm_bus->reconfig_mutex); lock(system_transition_mutex); lock(&nvdimm_region_key); Chain exists of: &cxl_nvdimm_bridge_key --> acpi_scan_lock --> &cxl_root_key Possible unsafe locking scenario: CPU0 CPU1 ---- ---- lock(&cxl_root_key); lock(acpi_scan_lock); lock(&cxl_root_key); lock(&cxl_nvdimm_bridge_key); Estos se derivan de mantener nvdimm_bus_lock() sobre hibernate_quiet_exec() que recorre toda la topología del dispositivo del sistema tomando device_lock() en el camino. nvdimm_bus_lock() protege contra la anulación del registro, múltiples invocadores de operaciones simultáneas y evita que activate_show() compita con activate_store(). Para los primeros 2, el bloqueo es redundante. La anulación del registro ya borra todos los usuarios de operaciones, y sysfs ya evita que varios subprocesos estén activos en un controlador de operaciones al mismo tiempo. Para el último espacio de usuario ya debería estar esperando a que se complete su último activate_store(), y no necesita activate_show() para borrar el lado de escritura, por lo que este uso de bloqueo se puede eliminar en estos atributos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ARM: hisi: Agregar la falta de of_node_put después de of_find_compatible_node of_find_compatible_node incrementará el recuento de referencias del device_node devuelto. Llamar a of_node_put() para evitar la pérdida de recuento de referencias

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: soc: bcm: Verificar el retorno NULL de devm_kzalloc() Como posible fallo de asignación, devm_kzalloc() puede devolver NULL. Entonces, 'pd->pmb' y las siguientes líneas de código pueden generar una desreferencia de puntero nulo. Por lo tanto, es mejor verificar el valor de retorno de devm_kzalloc() para evitar esta confusión.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: renesas: rzn1: Se corrige la posible eliminación de referencias PTR nulas en sh_pfc_map_resources(). Esto provocará una eliminación de referencias PTR nulas al usar 'res', si platform_get_resource() devuelve NULL, por lo que se debe mover el uso de 'res' después de devm_ioremap_resource() que lo comprobará para evitar la eliminación de referencias PTR nulas. Y se utiliza devm_platform_get_and_ioremap_resource() para simplificar el código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rxrpc: Se corrige que listen() estableciera la barra demasiado alta para los anillos de preasignación El controlador listen() de AF_RXRPC le permite establecer el backlog hasta 32 (si aumenta el sysctl), pero mientras que los búferes circulares de preasignación tienen 32 ranuras en ellos, una de ellas tiene que ser una ranura muerta porque estamos usando CIRC_CNT(). Esto significa que listen(rxrpc_sock, 32) causará un oops cuando el socket se cierre porque rxrpc_service_prealloc_one() asignó una llamada de más y rxrpc_discard_prealloc() no podrá deshacerse de ellas porque pensará que el anillo está vacío. rxrpc_release_calls_on_socket() luego intenta abortarlas, pero falla porque call->peer aún no está configurado. Solucione esto configurando el backlog máximo en RXRPC_BACKLOG_MAX - 1 para que coincida con la capacidad del anillo. ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000086 ... RIP: 0010:rxrpc_send_abort_packet+0x73/0x240 [rxrpc] Call Trace: ? __wake_up_common_lock+0x7a/0x90 ? rxrpc_notify_socket+0x8e/0x140 [rxrpc] ? rxrpc_abort_call+0x4c/0x60 [rxrpc] rxrpc_release_calls_on_socket+0x107/0x1a0 [rxrpc] rxrpc_release+0xc9/0x1c0 [rxrpc] __sock_release+0x37/0xa0 sock_close+0x11/0x20 __fput+0x89/0x240 task_work_run+0x59/0x90 do_exit+0x319/0xaa0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: firmware: arm_scmi: Se corrige la enumeración de protocolos de lista en el protocolo base Al enumerar protocolos implementados por la plataforma SCMI utilizando BASE_DISCOVER_LIST_PROTOCOLS, la cantidad de protocolos devueltos actualmente se valida de manera incorrecta ya que la verificación emplea una suma entre números enteros sin signo que podría desbordarse y hacer que la verificación en sí se omita silenciosamente si el valor devuelto 'loop_num_ret' es lo suficientemente grande. Arregle la validación evitando la suma.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dpaa2-eth: recuperar la dirección virtual antes de dma_unmap El encabezado TSO fue desasignado por DMA antes de que se recuperara la dirección virtual y luego se usara para liberar el búfer. Esto significaba que en realidad estábamos eliminando el mapa DMA y luego tratando de buscarlo para ayudar a recuperar la dirección virtual. Esto llevó a que se usara una dirección virtual no válida en la llamada kfree. Solucione esto llamando a dpaa2_iova_to_virt() antes de la llamada dma_unmap. [ 487.231819] No se puede gestionar la solicitud de paginación del núcleo en la dirección virtual fffffd9807000008 (...) [ 487.354061] Hardware name: SolidRun LX2160A Honeycomb (DT) [ 487.359535] pstate: a0400005 (NzCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 487.366485] pc : kfree+0xac/0x304 [ 487.369799] lr : kfree+0x204/0x304 [ 487.373191] sp : ffff80000c4eb120 [ 487.376493] x29: ffff80000c4eb120 x28: ffff662240c46400 x27: 0000000000000001 [ 487.383621] x26: 0000000000000001 x25: ffff662246da0cc0 x24: ffff66224af78000 [ 487.390748] x23: ffffad184f4ce008 x22: ffffad1850185000 x21: ffffad1838d13cec [ 487.397874] x20: ffff6601c0000000 x19: fffffd9807000000 x18: 0000000000000000 [ 487.405000] x17: ffffb910cdc49000 x16: ffffad184d7d9080 x15: 0000000000004000 [ 487.412126] x14: 0000000000000008 x13: 000000000000ffff x12: 0000000000000000 [ 487.419252] x11: 0000000000000004 x10: 0000000000000001 x9 : ffffad184d7d927c [ 487.426379] x8 : 0000000000000000 x7 : 0000000ffffffd1d x6 : ffff662240a94900 [ 487.433505] x5 : 0000000000000003 x4 : 0000000000000009 x3 : ffffad184f4ce008 [ 487.440632] x2 : ffff662243eec000 x1 : 0000000100000100 x0 : fffffc0000000000 [ 487.447758] Call trace: [ 487.450194] kfree+0xac/0x304 [ 487.453151] dpaa2_eth_free_tx_fd.isra.0+0x33c/0x3e0 [fsl_dpaa2_eth] [ 487.459507] dpaa2_eth_tx_conf+0x100/0x2e0 [fsl_dpaa2_eth] [ 487.464989] dpaa2_eth_poll+0xdc/0x380 [fsl_dpaa2_eth]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: soc: ti: ti_sci_pm_domains: Verificación de retorno nulo de devm_kcalloc La función de asignación devm_kcalloc puede fallar y devolver un puntero nulo, lo que provocaría una desreferencia de puntero nulo más adelante. Puede ser mejor verificarlo y devolver directamente -ENOMEM tal como se hizo con devm_kcalloc en el código anterior.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: mediatek: Se corrige la pérdida de recuento de referencias en mtk_pcie_subsys_powerup() La función of_find_compatible_node() devuelve un puntero de nodo con el recuento de referencias incrementado. Deberíamos usar of_node_put() en él cuando termine. Agregue el of_node_put() faltante para liberar el recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: ocxl: se corrige la posible doble liberación en ocxl_file_register_afu. Se llamará a info_release() en device_unregister() cuando el recuento de referencias de info->dev sea 0. Por lo tanto, no es necesario llamar a ocxl_afu_put() y kfree() nuevamente. Corrija esto agregando free_minor() y regrese a la ruta de error err_unregister.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bonding: se corrige la protección rcu faltante Al eliminar rcu_read_lock en bond_ethtool_get_ts_info() como se discutió [1], no noté que se podía llamar a través de setsockopt, que no mantiene el bloqueo rcu, como señaló syzbot: seguimiento de pila: CPU: 0 PID: 3599 Comm: syz-executor317 Not tainted 5.18.0-rc5-syzkaller-01392-g01f4685797a5 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 Call Trace: __dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0xcd/0x134 lib/dump_stack.c:106 bond_option_active_slave_get_rcu include/net/bonding.h:353 [inline] bond_ethtool_get_ts_info+0x32c/0x3a0 drivers/net/bonding/bond_main.c:5595 __ethtool_get_ts_info+0x173/0x240 net/ethtool/common.c:554 ethtool_get_phc_vclocks+0x99/0x110 net/ethtool/common.c:568 sock_timestamping_bind_phc net/core/sock.c:869 [inline] sock_set_timestamping+0x3a3/0x7e0 net/core/sock.c:916 sock_setsockopt+0x543/0x2ec0 net/core/sock.c:1221 __sys_setsockopt+0x55e/0x6a0 net/socket.c:2223 __do_sys_setsockopt net/socket.c:2238 [inline] __se_sys_setsockopt net/socket.c:2235 [inline] __x64_sys_setsockopt+0xba/0x150 net/socket.c:2235 do_syscall_x64 arch/x86/entry/common.c:50 [inline] do_syscall_64+0x35/0xb0 arch/x86/entry/common.c:80 entry_SYSCALL_64_after_hwframe+0x44/0xae RIP: 0033:0x7f8902c8eb39 Fix it by adding rcu_read_lock and take a ref on the real_dev. Since dev_hold() and dev_put() can take NULL these days, we can skip checking if real_dev exist. [1] https://lore.kernel.org/netdev/27565.1642742439@famine/