Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: libbpf: Se corrige el acceso al encabezado core_relo de BTF.ext. Se actualiza btf_ext_parse_info() para garantizar que el encabezado core_relo esté presente antes de leer sus campos. Esto evita un posible desbordamiento de lectura del búfer reportado por el proyecto OSS Fuzz.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: perf/x86/intel: KVM: Enmascarar PEBS_ENABLE cargado para el invitado con el valor de la vCPU. Al generar el valor MSR_IA32_PEBS_ENABLE que se cargará en VM-Entry a un invitado KVM, enmascarar el valor con el valor PEBS_ENABLE deseado de la vCPU. Consultar únicamente las máscaras de host vs. invitado del kernel del host da como resultado que el invitado se ejecute con PEBS habilitado incluso cuando el invitado no desea usarlo. Debido a que KVM usa eventos perf para proxyizar la PMU virtual del invitado, simplemente mirar exclude_host no puede diferenciar entre eventos creados por el espacio de usuario del host y eventos creados por KVM en nombre del invitado. Ejecutar el invitado con PEBS habilitado inesperadamente generalmente se manifiesta como bloqueos debido a un flujo casi infinito de #PF. Por ejemplo, si el invitado no ha escrito MSR_IA32_DS_AREA, la CPU encontrará fallos de página en la dirección '0' al intentar registrar eventos PEBS. El problema se reproduce más fácilmente ejecutando `perf kvm top` antes de el commit 7b100989b4f6 ("perf evlist: Remove __evlist__add_default") (tras lo cual, `perf kvm top` dejó de usar PEBS). El lado del espacio de usuario de perf crea un evento PEBS exclusivo para invitados, que intel_guest_get_msrs() malinterpreta como un evento PEBS *propiedad* del invitado. Podría decirse que se trata de un error del espacio de usuario, ya que habilitar PEBS en eventos exclusivos para invitados simplemente no funciona, y el espacio de usuario puede bloquear máquinas virtuales de muchas otras maneras (sin peligro para el host). Sin embargo, incluso si esto se considera un comportamiento inadecuado del espacio de usuario, no hay ninguna desventaja en que perf/KVM restrinja PEBS a eventos propios del invitado. Nota: el commit 854250329c02 ("KVM: x86/pmu: Deshabilitar PEBS invitado temporalmente en dos situaciones excepcionales") corrigió el caso en el que el espacio de usuario del host perfila KVM *y* el espacio de usuario, pero no el caso en el que el espacio de usuario perfila solo KVM.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: objtool, media: dib8000: Evitar división por cero en dib8000_set_dds(). Si la llamada de dib8000_set_dds() a dib8000_read32() devuelve cero, el resultado es una división por cero. Se evita que esto ocurra. Corrige la siguiente advertencia con un kernel UBSAN: drivers/media/dvb-frontends/dib8000.o: advertencia: objtool: dib8000_tune() falla a la siguiente función dib8096p_cfg_DibRx().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ethernet: mtk_eth_soc: corrección del pánico SER con más de 4 GB de RAM. Si la función mtk_poll_rx() detecta el indicador MTK_RESETTING, saltará a release_desc y rellenará la palabra alta del SDP en la RFB de 4 GB. Posteriormente, mtk_rx_clean procesará un SDP incorrecto, lo que provocará un pánico. Se ha añadido un parche del SDK de MediaTek para solucionar esto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: simple-card-utils: Se corrige la comprobación de punteros en graph_util_parse_link_direction. Se comprueba si los punteros pasados son válidos antes de escribir en ellos. Esto también corrige una advertencia de USBAN: UBSAN: carga no válida en ../sound/soc/fsl/imx-card.c:687:25. La carga del valor 255 no es válida para el tipo '_Bool'. Esto se debe a que playback_only no está inicializado y no se escribe en él, ya que la propiedad playback-only no está presente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/nouveau: Corrección de WARN_ON en nouveau_fence_context_kill(). Nouveau está diseñado principalmente de tal manera que se espera que las vallas solo se señalicen mediante nouveau_fence_signal(). Sin embargo, en al menos otro lugar, nouveau_fence_done(), también puede señalizar vallas. Si esto sucede (ejecución), una valla señalizada permanece en la lista de pendientes durante un tiempo, hasta que nouveau_fence_update() la elimina. Si nouveau_fence_context_kill() se ejecuta mientras tanto, esto sería un error porque la función intentaría establecer un código de error en una valla ya señalizada. Haga que nouveau_fence_context_kill() compruebe si hay una valla señalizada.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: arm64: errata: Añadir centinelas faltantes a las matrices MIDR de Spectre-BHB. El commit a5951389e58d ("arm64: errata: Añadir nuevos núcleos ARM a las listas spectre_bhb_loop_affected()") añadió CPU adicionales a la solución alternativa de Spectre-BHB, incluyendo nuevas matrices para diseños que requieren nuevos valores 'k' para que la solución sea efectiva. Desafortunadamente, las nuevas matrices omitieron la entrada de centinela, por lo que is_midr_in_range_list() se desviará al final si no encuentra una coincidencia. Con UBSAN habilitado, esto provoca un fallo durante el arranque cuando is_midr_in_range_list() está en línea (lo cual era más común antes de c8c2647e69be ("arm64: Convertir _midr_in_range_list() en una función exportada")): | Error interno: aarch64 BRK: 00000000f2000001 [#1] PREEMPT SMP | pstate: 804000c5 (Nzcv daIF +PAN -UAO -TCO -DIT -SSBS BTYPE=--) | pc : spectre_bhb_loop_affected+0x28/0x30 | lr : is_spectre_bhb_affected+0x170/0x190 | [...] | Rastreo de llamadas: | spectre_bhb_loop_affected+0x28/0x30 | update_cpu_capabilities+0xc0/0x184 | init_cpu_features+0x188/0x1a4 | cpuinfo_store_boot_cpu+0x4c/0x60 | smp_prepare_boot_cpu+0x38/0x54 | start_kernel+0x8c/0x478 | __primary_switched+0xc8/0xd4 | Código: 6b09011f 54000061 52801080 d65f03c0 (d4200020) | ---[ fin del seguimiento 000000000000000 ]--- | Pánico del kernel - no sincroniza: aarch64 BRK: Excepción fatal Agregue las entradas centinela faltantes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dm-bufio: no programar en contexto atómico Se informó un ERROR como el siguiente cuando CONFIG_DEBUG_ATOMIC_SLEEP y try_verify_in_tasklet están habilitados. [ 129.444685][ T934] ERROR: función de suspensión llamada desde un contexto no válido en drivers/md/dm-bufio.c:2421 [ 129.444723][ T934] in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 934, name: kworker/1:4 [ 129.444740][ T934] preempt_count: 201, esperado: 0 [ 129.444756][ T934] Profundidad de anidamiento de RCU: 0, esperado: 0 [ 129.444781][ T934] Preempción deshabilitada en: [ 129.444789][ T934] [] shrink_work+0x21c/0x248 [ 129.445167][ T934] ¡ERROR del kernel en kernel/sched/walt/walt_debug.c:16! [ 129.445183][ T934] Error interno: Ups - BUG: 00000000f2000800 [#1] PREEMPT SMP [ 129.445204][ T934] Omitir volcado de búfer de md ftrace para: 0x1609e0 [ 129.447348][ T934] CPU: 1 PID: 934 Comm: kworker/1:4 Contaminado: GW OE 6.6.56-android15-8-o-g6f82312b30b9-debug #1 1400000003000000474e5500b3187743670464e8 [ 129.447362][ T934] Nombre del hardware: Qualcomm Technologies, Inc. Parrot QRD, Alpha-M (DT) [ 129.447373][ T934] Cola de trabajo: dm_bufio_cache shrink_work [ 129.447394][ T934] pstate: 60400005 (nZCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 129.447406][ T934] pc : android_rvh_schedule_bug+0x0/0x8 [sched_walt_debug] [ 129.447435][ T934] lr : __traceiter_android_rvh_schedule_bug+0x44/0x6c [ 129.447451][ T934] sp : ffffffc0843dbc90 [ 129.447459][T934] x29: ffffffc0843dbc90 x28: ffffffffffffffff x27: 0000000000000c8b [ 129.447479][T934] x26: 0000000000000040 x25: ffffff804b3d6260 x24: ffffffd816232b68 [ 129.447497][ T934] x23: ffffff805171c5b4 x22: 00000000000000000 x21: ffffffd816231900 [ 129.447517][T934] x20: ffffff80306ba898 x19: 0000000000000000 x18: ffffffc084159030 [ 129.447535][ T934] x17: 00000000d2b5dd1f x16: 00000000d2b5dd1f x15: ffffffd816720358 [ 129.447554][ T934] x14: 0000000000000004 x13: ffffff89ef978000 x12: 0000000000000003 [ 129.447572][ T934] x11: ffffffd817a823c4 x10: 0000000000000202 x9: 7e779c5735de9400 [129.447591][T934] x8: ffffffd81560d004 x7: 205b5d3938373434 x6: ffffffd8167397c8 [ 129.447610][T934] x5: 0000000000000000 x4: 0000000000000001 x3: ffffffc0843db9e0 [129.447629][T934] x2: 0000000000002f15 x1: 0000000000000000 x0 : 0000000000000000 [ 129.447647][ T934] Rastreo de llamadas: [ 129.447655][ T934] android_rvh_schedule_bug+0x0/0x8 [sched_walt_debug 1400000003000000474e550080cce8a8a78606b6] [ 129.447681][ T934] __might_resched+0x190/0x1a8 [ 129.447694][ T934] shrink_work+0x180/0x248 [ 129.447706][ T934] proceso_uno_trabajo+0x260/0x624 [ 129.447718][ T934] subproceso_de_trabajo+0x28c/0x454 [ 129.447729][ T934] subproceso_de_trabajo+0x118/0x158 [ 129.447742][ T934] ret_de_bifurcación+0x10/0x20 [ 129.447761][ T934] Código: ???????? ???????? ???????? d2b5dd1f (d4210000) [ 129.447772][ T934] ---[ fin del seguimiento 0000000000000000 ]--- dm_bufio_lock llamará a spin_lock_bh cuando try_verify_in_tasklet esté habilitado, y se llamará a __scan en el contexto atómico.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iommu/amd: Arreglar desbordamiento de búfer potencial en parse_ivrs_acpihid Hay un error de lógica de análisis de cadenas que puede provocar un desbordamiento de los búferes hid o uid. La comparación de ACPIID_LEN con la longitud total de una cadena no tiene en cuenta las longitudes de los búferes hid y uid individuales, por lo que la comprobación es insuficiente en algunos casos. Por ejemplo, si la longitud de la cadena hid es 4 y la longitud de la cadena uid es 260, la longitud de str será igual a ACPIID_LEN + 1, pero la cadena uid desbordará el búfer uid, cuyo tamaño es 256. Lo mismo se aplica a la cadena hid con una longitud de 13 y a la cadena uid con una longitud de 250. Compruebe la longitud de las cadenas hid y uid por separado para evitar el desbordamiento del búfer. Encontrado por el Centro de verificación de Linux (linuxtesting.org) con SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: ajustar el inicio del bit de la subpágina en función del tamaño del sector Al ejecutar máquinas con un tamaño de página de 64k y un tamaño de nodo de 16k, comenzamos a ver corrupción en el registro del árbol en producción. Esto resultó ser porque a veces no escribíamos bloques sucios, por lo que, de hecho, afecta a todas las escrituras de metadatos. Al escribir un EB de subpágina, escaneamos el mapa de bits de la subpágina en busca de un rango sucio. Si el rango no está sucio, hacemos bit_start++; para pasar al siguiente bit. El problema es que el mapa de bits se basa en la cantidad de sectores que tiene un EB. Entonces, en este caso, tenemos un tamaño de página de 64k, un tamaño de nodo de 16k, pero un tamaño de sector de 4k. Esto significa que nuestro mapa de bits es de 4 bits para cada nodo. Con un tamaño de página de 64k, terminamos con 4 nodos por página. Para hacer esto más fácil así es como se ve todo [0 16k 32k 48k ] dirección lógica [0 4 8 12 ] desplazamiento del árbol de radix [ página 64k ] folio [ 16k eb ][ 16k eb ][ 16k eb ][ 16k eb ] búferes de extensión [ | | | | | | | | | | | | | | | | ] mapa de bits Ahora usamos todo nuestro direccionamiento basado en fs_info->sectorsize_bits, así que como puedes ver arriba nuestro eb->start de 16k se convierte en la entrada de radix 4. Cuando encontramos un rango sucio para nuestro eb, hacemos correctamente bit_start += sectores_per_node, porque si empezamos en el bit 0, el siguiente bit para el siguiente eb es 4, para corresponder a eb->start 16k. Sin embargo, si nuestro rango está limpio, haremos bit_start++, que ahora nos pondrá en un desplazamiento desde nuestras entradas del árbol de radix. En nuestro caso, supongamos que la primera vez que comprobamos el mapa de bits, el bloque no está sucio, incrementamos bit_start para que ahora sea == 1, y luego hacemos un bucle y comprobamos de nuevo. Esta vez está sucio, y vamos a encontrar ese inicio usando la siguiente ecuación start = folio_start + bit_start * fs_info->sectorsize; así que en el caso anterior, eb->start 0 ahora está sucio, y calculamos start como 0 + 1 * fs_info->sectorsize = 4096 4096 >> 12 = 1 Ahora estamos buscando el árbol de bases para 1, y no encontraremos un eb. Lo que es peor es que ahora estamos usando bit_start == 1, así que hacemos bit_start += sectores_por_nodo, que ahora es 5. Si ese eb está sucio, nos encontraremos con lo mismo, veremos un desplazamiento que no está rellenado en el árbol de bases, y ahora estamos omitiendo la escritura de los búferes de extensión sucios. La mejor solución es no usar sectorsize_bits para direccionar nodos, pero ese es un cambio mayor. Dado que se trata de un problema de corrupción del sistema de archivos, corríjalo simplemente usando siempre sectores_por_nodo para incrementar el bit de inicio.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sch_htb: hacer idempotente a htb_qlen_notify(). htb_qlen_notify() siempre desactiva la clase HTB y, de hecho, podría generar una advertencia si ya está desactivada. Por lo tanto, no es idempotente ni incompatible con quienes la llaman, como fq_codel_dequeue(). Hagámosla idempotente para facilitar la tarea a quienes llaman a qdisc_tree_reduce_backlog().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: octeon_ep: Se solucionó el problema de bloqueo del host durante el reinicio del dispositivo. Cuando el host pierde los mensajes de latido del dispositivo, el controlador llama a la función ndo_stop específica del dispositivo, que libera los recursos. Si el controlador se descarga en este caso, vuelve a llamar a ndo_stop para intentar liberar los recursos ya liberados, lo que provoca un problema de bloqueo del host. Para solucionar esto, se debe llamar a dev_close en lugar de a la función de detención específica del dispositivo. Dev_close llama internamente a ndo_stop para detener la interfaz de red y realiza tareas de limpieza adicionales. Durante el proceso de descarga del controlador, si el dispositivo ya está inactivo, no se llama a ndo_stop.