Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: platform/x86: int3472: Verificar si adev == NULL No todos los dispositivos tienen un fwnode complementario ACPI, por lo que adev podría ser NULL. Esto puede ocurrir (teóricamente) cuando un usuario vincula manualmente uno de los controladores int3472 a otro dispositivo i2c/platform a través de sysfs. Agregue una verificación para adev que no esté configurado y devuelva -ENODEV en ese caso para evitar una posible desreferencia de puntero NULL en skl_int3472_get_acpi_buffer().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: MGMT: Corregir lectura slab-use-after-free en mgmt_remove_adv_monitor_sync Esto corrige el siguiente fallo: ===================================================================== ERROR: KASAN: slab-use-after-free in mgmt_remove_adv_monitor_sync+0x3a/0xd0 net/bluetooth/mgmt.c:5543 Read of size 8 at addr ffff88814128f898 by task kworker/u9:4/5961 CPU: 1 UID: 0 PID: 5961 Comm: kworker/u9:4 Not tainted 6.12.0-syzkaller-10684-gf1cd565ce577 #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 09/13/2024 Workqueue: hci0 hci_cmd_sync_work Call Trace: __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:120 print_address_description mm/kasan/report.c:378 [inline] print_report+0x169/0x550 mm/kasan/report.c:489 kasan_report+0x143/0x180 mm/kasan/report.c:602 mgmt_remove_adv_monitor_sync+0x3a/0xd0 net/bluetooth/mgmt.c:5543 hci_cmd_sync_work+0x22b/0x400 net/bluetooth/hci_sync.c:332 process_one_work kernel/workqueue.c:3229 [inline] process_scheduled_works+0xa63/0x1850 kernel/workqueue.c:3310 worker_thread+0x870/0xd30 kernel/workqueue.c:3391 kthread+0x2f0/0x390 kernel/kthread.c:389 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 Allocated by task 16026: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x3f/0x80 mm/kasan/common.c:68 poison_kmalloc_redzone mm/kasan/common.c:377 [inline] __kasan_kmalloc+0x98/0xb0 mm/kasan/common.c:394 kasan_kmalloc include/linux/kasan.h:260 [inline] __kmalloc_cache_noprof+0x243/0x390 mm/slub.c:4314 kmalloc_noprof include/linux/slab.h:901 [inline] kzalloc_noprof include/linux/slab.h:1037 [inline] mgmt_pending_new+0x65/0x250 net/bluetooth/mgmt_util.c:269 mgmt_pending_add+0x36/0x120 net/bluetooth/mgmt_util.c:296 remove_adv_monitor+0x102/0x1b0 net/bluetooth/mgmt.c:5568 hci_mgmt_cmd+0xc47/0x11d0 net/bluetooth/hci_sock.c:1712 hci_sock_sendmsg+0x7b8/0x11c0 net/bluetooth/hci_sock.c:1832 sock_sendmsg_nosec net/socket.c:711 [inline] __sock_sendmsg+0x221/0x270 net/socket.c:726 sock_write_iter+0x2d7/0x3f0 net/socket.c:1147 new_sync_write fs/read_write.c:586 [inline] vfs_write+0xaeb/0xd30 fs/read_write.c:679 ksys_write+0x18f/0x2b0 fs/read_write.c:731 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Freed by task 16022: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x3f/0x80 mm/kasan/common.c:68 kasan_save_free_info+0x40/0x50 mm/kasan/generic.c:582 poison_slab_object mm/kasan/common.c:247 [inline] __kasan_slab_free+0x59/0x70 mm/kasan/common.c:264 kasan_slab_free include/linux/kasan.h:233 [inline] slab_free_hook mm/slub.c:2338 [inline] slab_free mm/slub.c:4598 [inline] kfree+0x196/0x420 mm/slub.c:4746 mgmt_pending_foreach+0xd1/0x130 net/bluetooth/mgmt_util.c:259 __mgmt_power_off+0x183/0x430 net/bluetooth/mgmt.c:9550 hci_dev_close_sync+0x6c4/0x11c0 net/bluetooth/hci_sync.c:5208 hci_dev_do_close net/bluetooth/hci_core.c:483 [inline] hci_dev_close+0x112/0x210 net/bluetooth/hci_core.c:508 sock_do_ioctl+0x158/0x460 net/socket.c:1209 sock_ioctl+0x626/0x8e0 net/socket.c:1328 vfs_ioctl fs/ioctl.c:51 [inline] __do_sys_ioctl fs/ioctl.c:906 [inline] __se_sys_ioctl+0xf5/0x170 fs/ioctl.c:892 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: brcmsmac: añadir comprobación de rango de ganancia a wlc_phy_iqcal_gainparams_nphy() En 'wlc_phy_iqcal_gainparams_nphy()', añadir comprobación de rango de ganancia a WARN() en lugar de un posible acceso fuera de límites a 'tbl_iqcal_gainparams_nphy'. Solo se ha probado la compilación. Encontrado por el Centro de verificación de Linux (linuxtesting.org) con SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: safesetid: comprobar el tamaño de las escrituras de políticas syzbot intenta escribir un búfer de gran tamaño en una entrada sysfs con escrituras gestionadas por handle_policy_update(), lo que activa una advertencia en kmalloc. Compruebe el tamaño especificado para los búferes de escritura antes de asignar. [MP: modificación del asunto]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: printk: Se corrige el desbordamiento de entero con signo al definir LOG_BUF_LEN_MAX. El cambio de 1 << 31 en un entero de 32 bits provoca un desbordamiento de entero con signo, lo que conduce a un comportamiento indefinido. Para evitarlo, convierta 1 a u32 antes de realizar el cambio, lo que garantiza un comportamiento bien definido. Este cambio evita explícitamente cualquier desbordamiento potencial al garantizar que el cambio se produzca en un entero de 32 bits sin signo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: multitouch: Agregar comprobación NULL en mt_input_configured devm_kasprintf() puede devolver un puntero NULL en caso de error, pero este valor devuelto en mt_input_configured() no se comprueba. Agregar comprobación NULL en mt_input_configured() para controlar el error de desreferencia de puntero NULL del kernel.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: i2c: ds90ub9x3: Fix extra fwnode_handle_put() Los controladores ub913 y ub953 llaman a fwnode_handle_put(priv->sd.fwnode) como parte de su proceso de eliminación y, si el controlador se elimina varias veces, eventualmente conduce a un "desbordamiento" de put, posiblemente causando corrupción de memoria o falla. fwnode_handle_put() es un remanente del commit 905f88ccebb1 ("media: i2c: ds90ub9x3: Fix sub-device matching"), que cambió el código relacionado con sd.fwnode, pero no eliminó estas llamadas fwnode_handle_put().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: intel/ipu6: eliminar solicitud de QoS de latencia de CPU en caso de error Corrija la corrupción de la lista de QoS de latencia de CPU como se muestra a continuación. Ocurre cuando no eliminamos la solicitud de latencia de CPU en la ruta de error y liberamos la memoria correspondiente. [ 30.634378] l7 kernel: list_add corruption. prev->next should be next (ffffffff9645e960), but was 0000000100100001. (prev=ffff8e9e877e20a8). [ 30.634388] l7 kernel: WARNING: CPU: 2 PID: 2008 at lib/list_debug.c:32 __list_add_valid_or_report+0x83/0xa0 [ 30.634640] l7 kernel: Call Trace: [ 30.634650] l7 kernel: [ 30.634659] l7 kernel: ? __list_add_valid_or_report+0x83/0xa0 [ 30.634669] l7 kernel: ? __warn.cold+0x93/0xf6 [ 30.634678] l7 kernel: ? __list_add_valid_or_report+0x83/0xa0 [ 30.634690] l7 kernel: ? report_bug+0xff/0x140 [ 30.634702] l7 kernel: ? handle_bug+0x58/0x90 [ 30.634712] l7 kernel: ? exc_invalid_op+0x17/0x70 [ 30.634723] l7 kernel: ? asm_exc_invalid_op+0x1a/0x20 [ 30.634733] l7 kernel: ? __list_add_valid_or_report+0x83/0xa0 [ 30.634742] l7 kernel: plist_add+0xdd/0x140 [ 30.634754] l7 kernel: pm_qos_update_target+0xa0/0x1f0 [ 30.634764] l7 kernel: cpu_latency_qos_update_request+0x61/0xc0 [ 30.634773] l7 kernel: intel_dp_aux_xfer+0x4c7/0x6e0 [i915 1f824655ed04687c2b0d23dbce759fa785f6d033]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: dwc: ep: Impedir cambiar el tamaño/indicadores de BAR en pci_epc_set_bar() En el commit 4284c88fff0e ("PCI: designware-ep: Permitir que pci_epc_set_bar() actualice la dirección del mapa de entrada"), se modificó set_bar() para admitir el cambio dinámico de la dirección física de respaldo de un BAR que ya estaba configurado. Esto significa que se puede llamar a set_bar() dos veces, sin llamar nunca a clear_bar() (ya que llamar a clear_bar() borraría la dirección PCI del BAR asignada por el host). Esto solo se puede hacer si el nuevo tamaño/indicadores de BAR no difieren de la configuración de BAR existente. Agregue estas comprobaciones faltantes. Si permitimos que set_bar() establezca, por ejemplo, un nuevo tamaño de BAR que difiere del tamaño de BAR existente, el nuevo rango de traducción de direcciones será más pequeño que el tamaño de BAR ya determinado por el host, lo que significaría que una lectura más allá del nuevo tamaño de BAR pasaría la iATU sin traducir, lo que podría permitir que el host lea memoria que no pertenece a la nueva estructura pci_epf_bar. Mientras tanto, agregue comentarios que aclaren el soporte para cambiar dinámicamente la dirección física de un BAR. (Lo cual también faltaba).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KEYS: trusted: dcp: corrige el uso incorrecto de sg con CONFIG_VMAP_STACK=y Con las direcciones de pila vmalloc habilitadas (CONFIG_VMAP_STACK=y), las claves confiables de DCP pueden fallar durante el cifrado y descifrado de la clave de cifrado de blobs a través del controlador de cifrado DCP. Esto se debe al uso incorrecto de sg_init_one() con búferes de pila vmalloc (plain_key_blob). Solucione esto utilizando siempre kmalloc() para los búferes que le damos al controlador de cifrado DCP.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ocfs2: gestiona correctamente un error de lectura de enlace simbólico Serie de parches "Convertir ocfs2 para usar folios". Mark hizo una conversión de ocfs2 para usar folios y me lo envió como un parche gigante para revisión ;-) Así que lo rehice como parches individuales y le di crédito a Mark por los parches donde su código es sustancialmente el mismo. No es una mala forma de hacerlo; su parche tenía algunos errores y mis parches tenían algunos errores. Con suerte, todos nuestros errores fueron diferentes entre sí. ¡Y con suerte a Mark le gustan todos los cambios que hice en su código! Este parche (de 23): Si no podemos leer el búfer, asegúrese de desbloquear la página antes de regresar.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: uvcvideo: Eliminar punteros colgantes Cuando se escribe un control asíncrono, copiamos un puntero al identificador de archivo que inició la operación. Ese puntero se utilizará cuando el dispositivo termine. Lo que podría ser en cualquier momento en el futuro. Si el usuario cierra ese descriptor de archivo, se liberará su estructura y habrá un puntero colgante por cada control asíncrono pendiente, que el controlador intentará utilizar. Limpie todos los punteros colgantes durante release(). Para evitar agregar una penalización de rendimiento en el caso más común (sin operación asíncrona), se ha introducido un contador con cierta lógica para asegurarse de que se gestiona correctamente.