Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: stmmac: dwc-qos: Deshabilitar encabezado dividido para Tegra194 Hay un problema de larga data con el controlador Ethernet Synopsys DWC para Tegra194 donde se han observado fallas aleatorias del sistema [0]. El problema ocurre cuando la función de encabezado dividido está habilitada en el controlador stmmac. En el mal caso, se recibe una longitud de búfer mayor a la esperada y hace que el cálculo de la longitud total del búfer se desborde. Esto da como resultado una longitud de búfer muy grande que hace que el kernel se bloquee. No está claro por qué se recibe esta longitud de búfer mayor, sin embargo, la retroalimentación del equipo de diseño de NVIDIA es que la función de encabezado dividido no es compatible con Tegra194. Por lo tanto, deshabilite la compatibilidad con encabezado dividido para Tegra194 para evitar que ocurran estas fallas aleatorias. [0] https://lore.kernel.org/linux-tegra/b0b17697-f23e-8fa5-3757-604a86f3a095@nvidia.com/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ima: Se corrige un posible desbordamiento de enteros en ima_appraise_measurement Cuando ima-modsig está habilitado, el rc pasado a evm_verifyxattr() puede ser negativo, lo que puede causar el problema de desbordamiento de enteros.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/i915: se corrige una posible pérdida de recuento de referencias en intel_dp_add_mst_connector(). Si drm_connector_init falla, se llamará a intel_connector_free para encargarse de la liberación adecuada. Por lo tanto, es necesario eliminar el recuento de referencias del puerto antes de intel_connector_free. (seleccionado de el commit cea9ed611e85d36a05db52b6457bf584b7d969e2)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/panfrost: Arreglar la corrupción de la lista de reductores por parte de madvise IOCTL Llamar a madvise IOCTL dos veces en BO provoca corrupción de la lista de reductores de memoria y bloquea el kernel porque BO ya está en la lista y se agrega a la lista nuevamente, mientras que BO debería eliminarse de la lista antes de volver a agregarse. Arréglalo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: se corrige la selección de cola para interfaces de malla/OCB Al usar iTXQ, el código supone que solo hay una cola vif para paquetes de difusión, utilizando la cola BE. Permitir el marcado de colas que no sean BE viola esa suposición y txq->ac == skb_queue_mapping ya no está garantizado. Esto puede causar problemas con la gestión de colas en el controlador y también causa problemas con el cambio reciente de ATF, lo que resulta en una advertencia de desbordamiento de AQL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cgroup: usar nodos src/dst separados al precargar css_sets para la migración Cada cset (css_set) está fijado por sus tareas. Cuando estamos moviendo tareas entre csets para una migración, necesitamos mantener los csets de origen y destino para asegurarnos de que no desaparezcan mientras movemos tareas. Esto se hace vinculando cset->mg_preload_node en la lista mgctx->preloaded_src_csets o mgctx->preloaded_dst_csets. Se consideró correcto usar el mismo cset->mg_preload_node para las listas src y dst, ya que un cset no puede ser el origen y el destino al mismo tiempo. Desafortunadamente, esta sobrecarga se vuelve problemática cuando hay varias tareas involucradas en una migración y algunas de ellas son migraciones de noop de identidad mientras que otras en realidad se están moviendo entre cgroup1: #1> mkdir -p /sys/fs/cgroup/misc/a/b #2> echo $$ > /sys/fs/cgroup/misc/a/cgroup.procs #3> RUN_A_COMMAND_WHICH_CREATES_MULTIPLE_THREADS & #4> PID=$! #5> echo $PID > /sys/fs/cgroup/misc/a/b/tasks #6> echo $PID > /sys/fs/cgroup/misc/a/cgroup.procs el proceso que incluye al líder del grupo de nuevo en a. En esta migración final, los subprocesos que no son líderes estarían realizando la migración de identidad mientras que el líder del grupo está realizando una real. Después del n.° 3, digamos que todo el proceso estaba en cset A, y que después del n.° 4, el líder se mueve al cset B. Luego, durante el n.° 6, sucede lo siguiente: 1. se llama a cgroup_migrate_add_src() en B para el líder. 2. se llama a cgroup_migrate_add_src() en A para los otros subprocesos. 3. se llama a cgroup_migrate_prepare_dst(). Escanea la lista src. 4. Se da cuenta de que B quiere migrar a A, por lo que intenta llevar A a la lista dst pero se da cuenta de que su ->mg_preload_node ya está ocupado. 5. y luego se da cuenta de que A quiere migrar a A como es una migración de identidad, lo descarta haciendo list_del_init()'ing su ->mg_preload_node y poniendo referencias en consecuencia. 6. El resto de la migración se lleva a cabo con B en la lista src pero nada en la lista dst. Esto significa que A no se mantiene mientras la migración está en progreso. Si todas las tareas abandonan A antes de que finalice la migración y la tarea entrante lo fija, el cset se destruirá, lo que provocará un use-after-free. Esto se debe a la sobrecarga de cset->mg_preload_node para las listas de precarga de src y dst. Queríamos excluir el cset de la lista de src, pero terminamos excluyéndolo inadvertidamente también de la lista de dst. Este parche soluciona el problema al separar cset->mg_preload_node en ->mg_src_preload_node y ->mg_dst_preload_node, de modo que las precargas de src y dst no interfieran entre sí.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tracing/histograms: Fix memory leak problem Esto revierte el commit 46bbe5c671e06f070428b9be142cc4ee5cedebac. Como decía el commit 46bbe5c671e0 ("tracing: fix double free"), el problema de "doble liberación" informado por el analizador estático de clang es: > En parse_var_defs(), si hay un problema al asignar var_defs.expr, se libera el var_defs.name anterior. > Esta liberación se duplica mediante free_var_defs(), que libera el resto de la lista. Sin embargo, si hay un problema al asignar la N-ésima var_defs.expr: + en parse_var_defs(), el 'var_defs.name anterior' liberado es en realidad el N-ésimo var_defs.name; + entonces en free_var_defs(), los nombres del 0 al (N-1)-ésimo se liberan; ¡SI SUCEDIÓ UN PROBLEMA DE ASIGNACIÓN AQUÍ!!! -+ \ | 0th 1th (N-1)-th N-th V +-------------+-------------+-----+-------------+----------- var_defs: | name | expr | name | expr | ... | name | expr | name | /// +-------------+-------------+-----+-------------+----------- Estas dos liberaciones no actúan sobre el mismo nombre, por lo que antes no había un problema de "doble liberación". Por el contrario, después de esa confirmación, tenemos un problema de "pérdida de memoria" porque el "N-ésimo var_defs.name" anterior no se libera. Si habilita CONFIG_DEBUG_KMEMLEAK e inyecta un error en el lugar donde se asignó el N-ésimo var_defs.expr, entonces ejecute en el shell de esta manera: $ echo 'hist:key=call_site:val=$v1,$v2:v1=bytes_req,v2=bytes_alloc' > \ /sys/kernel/debug/tracing/events/kmem/kmalloc/trigger Then kmemleak reports: unreferenced object 0xffff8fb100ef3518 (size 8): comm "bash", pid 196, jiffies 4295681690 (age 28.538s) hex dump (first 8 bytes): 76 31 00 00 b1 8f ff ff v1...... backtrace: [<0000000038fe4895>] kstrdup+0x2d/0x60 [<00000000c99c049a>] event_hist_trigger_parse+0x206f/0x20e0 [<00000000ae70d2cc>] trigger_process_regex+0xc0/0x110 [<0000000066737a4c>] event_trigger_write+0x75/0xd0 [<000000007341e40c>] vfs_write+0xbb/0x2a0 [<0000000087fde4c2>] ksys_write+0x59/0xd0 [<00000000581e9cdf>] do_syscall_64+0x3a/0x80 [<00000000cf3b065c>] entry_SYSCALL_64_after_hwframe+0x46/0xb0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ima: Se solucionó una posible pérdida de memoria en ima_init_crypto(). Si no se puede asignar el tfm SHA1, IMA no se inicializa y sale sin liberar ima_algo_array. Agregue el kfree() faltante para ima_algo_array para evitar la posible pérdida de memoria.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: stmmac: corrige fugas en la sonda Estas dos rutas de error deberían limpiarse antes de regresar.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nexthop: Se han corregido las ejecuciones de datos en torno a nexthop_compat_mode. Al leer nexthop_compat_mode, se puede cambiar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a sus lectores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: Se ha corregido una ejecución de datos en torno a sysctl_tcp_ecn_fallback. Al leer sysctl_tcp_ecn_fallback, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a su lector.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: raw: Se corrige una ejecución de datos en torno a sysctl_raw_l3mdev_accept. Al leer sysctl_raw_l3mdev_accept, se puede modificar simultáneamente. Por lo tanto, debemos agregar READ_ONCE() a su lector.