Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: plataforma/x86: thinkpad_acpi: corrige una pérdida de memoria del recurso MMIO EFCH A diferencia de release_mem_region(), una llamada a release_resource() no libera el recurso, por lo que debe liberarse explícitamente para evitar una pérdida de memoria.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/memhotplug: Add add_pages override for PPC With commit ffa0b64e3be5 ("powerpc: Fix virt_addr_valid() for 64-bit Book3E & 32-bit") the kernel now validate the addr against high_memory value. This results in the below BUG_ON with dax pfns. [ 635.798741][T26531] kernel BUG at mm/page_alloc.c:5521! 1:mon> e cpu 0x1: Vector: 700 (Program Check) at [c000000007287630] pc: c00000000055ed48: free_pages.part.0+0x48/0x110 lr: c00000000053ca70: tlb_finish_mmu+0x80/0xd0 sp: c0000000072878d0 msr: 800000000282b033 current = 0xc00000000afabe00 paca = 0xc00000037ffff300 irqmask: 0x03 irq_happened: 0x05 pid = 26531, comm = 50-landscape-sy kernel BUG at :5521! Linux version 5.19.0-rc3-14659-g4ec05be7c2e1 (kvaneesh@ltc-boston8) (gcc (Ubuntu 9.4.0-1ubuntu1~20.04.1) 9.4.0, GNU ld (GNU Binutils for Ubuntu) 2.34) #625 SMP Thu Jun 23 00:35:43 CDT 2022 1:mon> t [link register ] c00000000053ca70 tlb_finish_mmu+0x80/0xd0 [c0000000072878d0] c00000000053ca54 tlb_finish_mmu+0x64/0xd0 (unreliable) [c000000007287900] c000000000539424 exit_mmap+0xe4/0x2a0 [c0000000072879e0] c00000000019fc1c mmput+0xcc/0x210 [c000000007287a20] c000000000629230 begin_new_exec+0x5e0/0xf40 [c000000007287ae0] c00000000070b3cc load_elf_binary+0x3ac/0x1e00 [c000000007287c10] c000000000627af0 bprm_execve+0x3b0/0xaf0 [c000000007287cd0] c000000000628414 do_execveat_common.isra.0+0x1e4/0x310 [c000000007287d80] c00000000062858c sys_execve+0x4c/0x60 [c000000007287db0] c00000000002c1b0 system_call_exception+0x160/0x2c0 [c000000007287e10] c00000000000c53c system_call_common+0xec/0x250 The fix is to make sure we update high_memory on memory hotplug. This is similar to what x86 does in commit 3072e413e305 ("mm/memory_hotplug: introduce add_pages")

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: bonding: fix use-after-free after 802.3ad slave unbind commit 0622cab0341c ("bonding: fix 802.3ad gregator reselection"), resuelve el caso, cuando hay varios grupos de agregación en el mismo enlace. bond_3ad_unbind_slave invalidará (borrará) el agregador cuando __agg_active_ports devuelva cero. Por lo tanto, ad_clear_agg se puede ejecutar incluso, cuando num_of_ports!=0. Luego, bond_3ad_unbind_slave se puede ejecutar nuevamente para el agregador previamente borrado. NOTA: en este momento bond_3ad_unbind_slave no actualizará la lista de puertos esclavos, porque lag_ports==NULL. Entonces, aquí tenemos puertos esclavos, apuntando a la memoria liberada del agregador. Corrección con la verificación del número real de puertos en el grupo (como era antes de el commit 0622cab0341c ("vinculación: corrección de la reselección del agregador 802.3ad")), antes de ad_clear_agg(). Los registros de KASAN son los siguientes: [ 767.617392] ================================================================== [ 767.630776] BUG: KASAN: use-after-free in bond_3ad_state_machine_handler+0x13dc/0x1470 [ 767.638764] Read of size 2 at addr ffff00011ba9d430 by task kworker/u8:7/767 [ 767.647361] CPU: 3 PID: 767 Comm: kworker/u8:7 Tainted: G O 5.15.11 #15 [ 767.655329] Hardware name: DNI AmazonGo1 A7040 board (DT) [ 767.660760] Workqueue: lacp_1 bond_3ad_state_machine_handler [ 767.666468] Call trace: [ 767.668930] dump_backtrace+0x0/0x2d0 [ 767.672625] show_stack+0x24/0x30 [ 767.675965] dump_stack_lvl+0x68/0x84 [ 767.679659] print_address_description.constprop.0+0x74/0x2b8 [ 767.685451] kasan_report+0x1f0/0x260 [ 767.689148] __asan_load2+0x94/0xd0 [ 767.692667] bond_3ad_state_machine_handler+0x13dc/0x1470

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PM/devfreq: exynos-ppmu: Se corrige la fuga de refcount en of_get_devfreq_events of_get_child_by_name() devuelve un puntero de nodo con refcount incrementado, deberíamos usar of_node_put() en él cuando haya terminado. Esta función solo llama a of_node_put() en la ruta normal, y no la llama en las rutas de error. Agregue la falta de of_node_put() para evitar la fuga de refcount.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mptcp: corregir la ejecución en sockets mptcp no aceptados Cuando se cierra el socket de escucha que posee la solicitud relevante, libera los subflujos no aceptados y eso provoca la eliminación posterior de los sockets MPTCP emparejados. El trabajador del socket mptcp puede ejecutarse en el intervalo de tiempo entre dichas operaciones de eliminación. Cuando eso sucede, cualquier acceso a msk->first provocará un acceso UaF, ya que la limpieza del subflujo no borró dicho campo en el socket mptcp. Aborde el problema recorriendo explícitamente la cola de aceptación del socket de escucha en el momento del cierre y realizando la limpieza necesaria en el msk pendiente. Tenga en cuenta que el bloqueo es un poco complicado, ya que necesitamos adquirir el bloqueo del socket msk, mientras aún poseemos el del socket del subflujo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: linux/dim: Se corrige la división por 0 en RDMA DIM Se corrige un error de división por 0 en rdma_dim_stats_compare() when prev->cpe_ratio == 0. CallTrace: Hardware name: H3C R4900 G3/RS33M2C9S, BIOS 2.00.37P21 03/12/2020 task: ffff880194b78000 task.stack: ffffc90006714000 RIP: 0010:backport_rdma_dim+0x10e/0x240 [mlx_compat] RSP: 0018:ffff880c10e83ec0 EFLAGS: 00010202 RAX: 0000000000002710 RBX: ffff88096cd7f780 RCX: 0000000000000064 RDX: 0000000000000000 RSI: 0000000000000002 RDI: 0000000000000001 RBP: 0000000000000001 R08: 0000000000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000000 R12: 000000001d7c6c09 R13: ffff88096cd7f780 R14: ffff880b174fe800 R15: 0000000000000000 FS: 0000000000000000(0000) GS:ffff880c10e80000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00000000a0965b00 CR3: 000000000200a003 CR4: 00000000007606e0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 PKRU: 55555554 Call Trace: ib_poll_handler+0x43/0x80 [ib_core] irq_poll_softirq+0xae/0x110 __do_softirq+0xd1/0x28c irq_exit+0xde/0xf0 do_IRQ+0x54/0xe0 common_interrupt+0x8f/0x8f ? cpuidle_enter_state+0xd9/0x2a0 ? cpuidle_enter_state+0xc7/0x2a0 ? do_idle+0x170/0x1d0 ? cpu_startup_entry+0x6f/0x80 ? start_secondary+0x1b9/0x210 ? secondary_startup_64+0xa5/0xb0 Code: 0f 87 e1 00 00 00 8b 4c 24 14 44 8b 43 14 89 c8 4d 63 c8 44 29 c0 99 31 d0 29 d0 31 d2 48 98 48 8d 04 80 48 8d 04 80 48 c1 e0 02 <49> f7 f1 48 83 f8 0a 0f 86 c1 00 00 00 44 39 c1 7f 10 48 89 df RIP: backport_rdma_dim+0x10e/0x240 [mlx_compat] RSP: ffff880c10e83ec0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: xen/netback: evitar ingresar a xenvif_rx_next_skb() con una cola rx vacía xenvif_rx_next_skb() espera que la cola rx no esté vacía, pero en caso de que el bucle en xenvif_rx_action() esté realizando múltiples iteraciones, no se verifica la disponibilidad de otro skb en la cola rx. Esto puede provocar fallos: [40072.537261] ERROR: no se puede gestionar la desreferencia del puntero NULL del núcleo en 0000000000000080 [40072.537407] IP: xenvif_rx_skb+0x23/0x590 [xen_netback] [40072.537534] PGD 0 P4D 0 [40072.537644] Oops: 0000 [#1] SMP NOPTI [40072.537749] CPU: 0 PID: 12505 Comm: v1-c40247-q2-gu Not tainted 4.12.14-122.121-default #1 SLE12-SP5 [40072.537867] Hardware name: HP ProLiant DL580 Gen9/ProLiant DL580 Gen9, BIOS U17 11/23/2021 [40072.537999] task: ffff880433b38100 task.stack: ffffc90043d40000 [40072.538112] RIP: e030:xenvif_rx_skb+0x23/0x590 [xen_netback] [40072.538217] RSP: e02b:ffffc90043d43de0 EFLAGS: 00010246 [40072.538319] RAX: 0000000000000000 RBX: ffffc90043cd7cd0 RCX: 00000000000000f7 [40072.538430] RDX: 0000000000000000 RSI: 0000000000000006 RDI: ffffc90043d43df8 [40072.538531] RBP: 000000000000003f R08: 000077ff80000000 R09: 0000000000000008 [40072.538644] R10: 0000000000007ff0 R11: 00000000000008f6 R12: ffffc90043ce2708 [40072.538745] R13: 0000000000000000 R14: ffffc90043d43ed0 R15: ffff88043ea748c0 [40072.538861] FS: 0000000000000000(0000) GS:ffff880484600000(0000) knlGS:0000000000000000 [40072.538988] CS: e033 DS: 0000 ES: 0000 CR0: 0000000080050033 [40072.539088] CR2: 0000000000000080 CR3: 0000000407ac8000 CR4: 0000000000040660 [40072.539211] Call Trace: [40072.539319] xenvif_rx_action+0x71/0x90 [xen_netback] [40072.539429] xenvif_kthread_guest_rx+0x14a/0x29c [xen_netback] Solucione esto deteniendo el bucle en caso de que la cola de recepción se vacíe.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dmaengine: qcom: bam_dma: fix runtime PM underflow El commit dbad41e7bb5f ("dmaengine: qcom: bam_dma: check if the runtime pm enabled") causó llamadas pm_runtime_get/put() desequilibradas cuando el bam se controla de forma remota. Este commit lo revierte y simplemente habilita pm_runtime en todos los casos, las funciones clk_* ya simplemente dejan de funcionar cuando el reloj es NULL. También limpie un poco eliminando las comprobaciones nulas innecesarias de bamclk.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: srcu: Reforzar las comprobaciones de GP de cleanup_srcu_struct() Actualmente, cleanup_srcu_struct() comprueba si hay un período de gracia en curso, pero no comprueba si hay un período de gracia que aún no ha comenzado pero que podría comenzar en cualquier momento. Una situación de este tipo podría dar lugar a un error de use-after-free, por lo que esta confirmación añade una comprobación de un período de gracia que es necesario pero que aún no ha comenzado a cleanup_srcu_struct().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dmaengine: ti: Se corrige la pérdida de recuento de referencias en ti_dra7_xbar_route_allocate. of_parse_phandle() devuelve un puntero de nodo con el recuento de referencias incrementado. Deberíamos usar of_node_put() en él cuando ya no sea necesario. Agregue of_node_put() faltante para corregir esto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: i2c: piix4: Se corrige una pérdida de memoria en el soporte EFCH MMIO El soporte recientemente agregado para regiones EFCH MMIO introdujo una pérdida de memoria en esa ruta de código. La pérdida se debe al hecho de que release_resource() simplemente elimina el recurso del árbol pero no libera su memoria. En su lugar, debemos llamar a release_mem_region(), que libera la memoria. Como un buen efecto secundario, esto recupera cierta simetría entre las rutas heredadas y MMIO.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: dsa: qca8k: restablecer el puerto de la CPU al cambiar la MTU Se descubrió que la Documentación carece de un detalle fundamental sobre cómo cambiar correctamente el MAX_FRAME_SIZE del conmutador. De hecho, si se cambia MAX_FRAME_SIZE mientras el puerto de la CPU está encendido, el conmutador entra en pánico y deja de enviar paquetes. Esto hace que el sistema Ethernet de administración no reciba ningún paquete (la recuperación lenta aún funciona) y hace que el dispositivo no sea accesible. Para recuperarse de esto, se requiere un reinicio del conmutador. Para gestionar esto correctamente, apague los puertos de la CPU antes de cambiar MAX_FRAME_SIZE y vuelva a encenderlos después de que se aplique el valor.