Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: No desreferenciar ops->destroy Una depuración de dispositivo KVM ocurre en cualquiera de dos devoluciones de llamada: 1) destroy() que se llama cuando se está destruyendo la VM; 2) release() que se llama cuando se cierra un fd de dispositivo. La mayoría de los dispositivos KVM usan 1) pero los dispositivos KVM del controlador de interrupciones de Book3s (XICS, XIVE, XIVE-native) usan 2) ya que necesitan cerrarse y volver a abrir durante la ejecución de la máquina. La gestión de errores en kvm_ioctl_create_device() asume que destroy() siempre está definido, lo que lleva a una desreferencia NULL como lo descubrió Syzkaller. Esto agrega verificaciones para destroy!=NULL y agrega un release() faltante. Esto no está cambiando kvm_destroy_devices() ya que los dispositivos con release() definido deberían haber sido eliminados de la lista de dispositivos KVM para entonces.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: spi: bcm2835: bcm2835_spi_handle_err(): corrige la desreferencia del puntero NULL para transferencias que no sean DMA En caso de que se agote el tiempo de espera de una transferencia basada en IRQ, se llama a la función bcm2835_spi_handle_err(). Desde el commit 1513ceee70f2 ("spi: bcm2835: Drop dma_pending flag") las transferencias DMA TX y RX se cancelan incondicionalmente, lo que lleva a desreferencias del puntero NULL si no se configuran ctlr->dma_tx o ctlr->dma_rx. Corrija la desreferencia del puntero NULL comprobando que ctlr->dma_tx y ctlr->dma_rx sean punteros válidos antes de acceder a ellos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gpio: gpio-xilinx: Se corrige el desbordamiento de enteros. La implementación actual no puede configurar más de 32 pines debido a un tipo de datos incorrecto. Por lo tanto, se realiza una conversión de tipos con unsigned long para evitarlo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: Se han corregido las ejecuciones de datos en torno a sysctl_tcp_max_reordering. Al leer sysctl_tcp_max_reordering, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a sus lectores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: Se corrigen las ejecuciones de datos en torno a sysctl_tcp_slow_start_after_idle. Al leer sysctl_tcp_slow_start_after_idle, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a sus lectores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: Se ha corregido una ejecución de datos en torno a sysctl_tcp_early_retrans. Al leer sysctl_tcp_early_retrans, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a su lector.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/mempolicy: fix uninit-value in mpol_rebind_policy() mpol_set_nodemask()(mm/mempolicy.c) does not set up nodemask when pol->mode is MPOL_LOCAL. Check pol->mode before access pol->w.cpuset_mems_allowed in mpol_rebind_policy()(mm/mempolicy.c). BUG: KMSAN: uninit-value in mpol_rebind_policy mm/mempolicy.c:352 [inline] BUG: KMSAN: uninit-value in mpol_rebind_task+0x2ac/0x2c0 mm/mempolicy.c:368 mpol_rebind_policy mm/mempolicy.c:352 [inline] mpol_rebind_task+0x2ac/0x2c0 mm/mempolicy.c:368 cpuset_change_task_nodemask kernel/cgroup/cpuset.c:1711 [inline] cpuset_attach+0x787/0x15e0 kernel/cgroup/cpuset.c:2278 cgroup_migrate_execute+0x1023/0x1d20 kernel/cgroup/cgroup.c:2515 cgroup_migrate kernel/cgroup/cgroup.c:2771 [inline] cgroup_attach_task+0x540/0x8b0 kernel/cgroup/cgroup.c:2804 __cgroup1_procs_write+0x5cc/0x7a0 kernel/cgroup/cgroup-v1.c:520 cgroup1_tasks_write+0x94/0xb0 kernel/cgroup/cgroup-v1.c:539 cgroup_file_write+0x4c2/0x9e0 kernel/cgroup/cgroup.c:3852 kernfs_fop_write_iter+0x66a/0x9f0 fs/kernfs/file.c:296 call_write_iter include/linux/fs.h:2162 [inline] new_sync_write fs/read_write.c:503 [inline] vfs_write+0x1318/0x2030 fs/read_write.c:590 ksys_write+0x28b/0x510 fs/read_write.c:643 __do_sys_write fs/read_write.c:655 [inline] __se_sys_write fs/read_write.c:652 [inline] __x64_sys_write+0xdb/0x120 fs/read_write.c:652 do_syscall_x64 arch/x86/entry/common.c:51 [inline] do_syscall_64+0x54/0xd0 arch/x86/entry/common.c:82 entry_SYSCALL_64_after_hwframe+0x44/0xae Uninit was created at: slab_post_alloc_hook mm/slab.h:524 [inline] slab_alloc_node mm/slub.c:3251 [inline] slab_alloc mm/slub.c:3259 [inline] kmem_cache_alloc+0x902/0x11c0 mm/slub.c:3264 mpol_new mm/mempolicy.c:293 [inline] do_set_mempolicy+0x421/0xb70 mm/mempolicy.c:853 kernel_set_mempolicy mm/mempolicy.c:1504 [inline] __do_sys_set_mempolicy mm/mempolicy.c:1510 [inline] __se_sys_set_mempolicy+0x44c/0xb60 mm/mempolicy.c:1507 __x64_sys_set_mempolicy+0xd8/0x110 mm/mempolicy.c:1507 do_syscall_x64 arch/x86/entry/common.c:51 [inline] do_syscall_64+0x54/0xd0 arch/x86/entry/common.c:82 entry_SYSCALL_64_after_hwframe+0x44/0xae KMSAN: uninit-value in mpol_rebind_task (2) https://syzkaller.appspot.com/bug?id=d6eb90f952c2a5de9ea718a1b873c55cb13b59dc This patch seems to fix below bug too. KMSAN: uninit-value in mpol_rebind_mm (2) https://syzkaller.appspot.com/bug?id=f2fecd0d7013f54ec4162f60743a2b28df40926b The uninit-value is pol->w.cpuset_mems_allowed in mpol_rebind_policy(). When syzkaller reproducer runs to the beginning of mpol_new(), mpol_new() mm/mempolicy.c do_mbind() mm/mempolicy.c kernel_mbind() mm/mempolicy.c `mode` is 1(MPOL_PREFERRED), nodes_empty(*nodes) is `true` and `flags` is 0. Then mode = MPOL_LOCAL; ... policy->mode = mode; policy->flags = flags; will be executed. So in mpol_set_nodemask(), mpol_set_nodemask() mm/mempolicy.c do_mbind() kernel_mbind() pol->mode is 4 (MPOL_LOCAL), that `nodemask` in `pol` is not initialized, which will be accessed in mpol_rebind_policy().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: Se corrige la combinación de cegamiento jit y punteros a subprogramas bpf. La combinación de cegamiento jit y punteros a subprogramas bpf provoca: [ 36.989548] BUG: unable to handle page fault for address: 0000000100000001 [ 36.990342] #PF: supervisor instruction fetch in kernel mode [ 36.990968] #PF: error_code(0x0010) - not-present page [ 36.994859] RIP: 0010:0x100000001 [ 36.995209] Code: Unable to access opcode bytes at RIP 0xffffffd7. [ 37.004091] Call Trace: [ 37.004351] [ 37.004576] ? bpf_loop+0x4d/0x70 [ 37.004932] ? bpf_prog_3899083f75e4c5de_F+0xe3/0x13b La lógica de cegamiento de jit no reconoció que ld_imm64 con una dirección de subprograma bpf es una instrucción especial y procedió a aleatorizarla. Por sí sola no habría sido un problema, pero la lógica jit_subprogs() se basa en un proceso de dos pasos para realizar el JIT de todos los subprogramas y luego realizar el JIT nuevamente cuando se conocen las direcciones de todos los subprogramas. El proceso de cegamiento en la primera fase de JIT provocó que el segundo JIT no ajustara el ld_imm64 especial. Solucione este problema ignorando las instrucciones especiales ld_imm64 que no tienen constantes controladas por el usuario y que no deberían estar ocultas.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs/ntfs3: validar sectores_por_clústeres de BOOT Cuando el campo sectores_por_clústeres de BOOT de NTFS es > 0x80, representa un valor de desplazamiento. Asegúrese de que el valor de desplazamiento no sea demasiado grande antes de usarlo (el tamaño máximo del clúster de NTFS es 2 MB). Devuelva -EVINVAL si es demasiado grande. Esto evita valores de desplazamiento negativos y valores de desplazamiento que sean más grandes que el tamaño del campo. Previene este error de UBSAN: UBSAN: desplazamiento fuera de los límites en ../fs/ntfs3/super.c:673:16 el exponente de desplazamiento -192 es negativo

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: zsmalloc: arregla las ejecuciones entre la liberación asincrónica de zspage y la migración de página El trabajador de liberación asincrónica de zspage intenta bloquear la lista completa de páginas de una zspage sin defenderse contra la migración de página. Dado que las páginas que aún no se han bloqueado pueden migrar simultáneamente fuera de la lista de páginas de la zspage mientras lock_zspage() se procesa, lock_zspage() puede sufrir algunas ejecuciones letales diferentes. Puede bloquear una página que ya no pertenece a la zspage y desreferenciar de forma insegura page_private(), puede desreferenciar de forma insegura un puntero roto a la siguiente página (ya que hay una ejecución de datos), y puede observar un puntero NULL espurio a la siguiente página y, por lo tanto, no bloquear todas las páginas de la zspage (ya que una sola migración de página reconstruirá la lista de páginas completa, y create_page_chain() pone a cero incondicionalmente cada puntero de lista en el proceso). Corrija las ejecuciones usando migrants_read_lock() en lock_zspage() para sincronizar con la migración de página.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: hci_qca: usar del_timer_sync() antes de liberar Al mirar un informe de fallas en una lista de temporizadores que se está corrompiendo, lo que generalmente sucede cuando se libera un temporizador mientras aún está activo. Esto se activa comúnmente por el código que llama a del_timer() en lugar de del_timer_sync() justo antes de liberar. Un posible culpable es el controlador hci_qca, que hace exactamente eso. Eric mencionó que wake_retrans_timer podría volver a armarse a través de la cola de trabajo, así que también mueva la destrucción de la cola de trabajo antes de del_timer_sync().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/fpu: KVM: Establecer el tamaño uABI de la FPU invitada base en sizeof(struct kvm_xsave) Establezca el tamaño uABI inicial de la FPU invitada de KVM en 'struct kvm_xsave', es decir, en el tamaño uABI histórico de KVM. Al guardar el estado de la FPU para el espacio de usuario, KVM (bueno, ahora la FPU) establece los bits FP+SSE en el encabezado XSAVE incluso si el host no admite XSAVE. Establecer el encabezado XSAVE permite migrar la VM a un host que admita XSAVE sin que el nuevo host tenga que gestionar el estado de la FPU que puede o no ser compatible con XSAVE. Establecer el tamaño uABI en el tamaño predeterminado del host da como resultado escrituras fuera de los límites (establecer los bits FP+SSE) y corrupción de datos (que afortunadamente es detectada por KASAN) cuando se ejecuta en hosts sin XSAVE, por ejemplo, en CPU Core2. ADVERTENCIA si el tamaño predeterminado es mayor que el tamaño uABI histórico de KVM; todas las funciones que puedan aumentar el tamaño de FPU más allá del tamaño histórico deben ser habilitadas. ===================================================================== ERROR: KASAN: slab-out-of-bounds in fpu_copy_uabi_to_guest_fpstate+0x86/0x130 Read of size 8 at addr ffff888011e33a00 by task qemu-build/681 CPU: 1 PID: 681 Comm: qemu-build Not tainted 5.18.0-rc5-KASAN-amd64 #1 Hardware name: /DG35EC, BIOS ECG3510M.86A.0118.2010.0113.1426 01/13/2010 Call Trace: dump_stack_lvl+0x34/0x45 print_report.cold+0x45/0x575 kasan_report+0x9b/0xd0 fpu_copy_uabi_to_guest_fpstate+0x86/0x130 kvm_arch_vcpu_ioctl+0x72a/0x1c50 [kvm] kvm_vcpu_ioctl+0x47f/0x7b0 [kvm] __x64_sys_ioctl+0x5de/0xc90 do_syscall_64+0x31/0x50 entry_SYSCALL_64_after_hwframe+0x44/0xae Allocated by task 0: (stack is not available) The buggy address belongs to the object at ffff888011e33800 which belongs to the cache kmalloc-512 of size 512 The buggy address is located 0 bytes to the right of 512-byte region [ffff888011e33800, ffff888011e33a00) The buggy address belongs to the physical page: page:0000000089cd4adb refcount:1 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x11e30 head:0000000089cd4adb order:2 compound_mapcount:0 compound_pincount:0 flags: 0x4000000000010200(slab|head|zone=1) raw: 4000000000010200 dead000000000100 dead000000000122 ffff888001041c80 raw: 0000000000000000 0000000080100010 00000001ffffffff 0000000000000000 page dumped because: kasan: bad access detected Memory state around the buggy address: ffff888011e33900: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ffff888011e33980: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 >ffff888011e33a00: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc ^ ffff888011e33a80: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc ffff888011e33b00: fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc fc ======================================================================= Desactivar bloqueo depuración debido a la corrupción del kernel