Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI/pwrctrl: Cancelar el trabajo de reescaneo pendiente al anular el registro Es posible activar el use-after-free aquí: (a) forzando a rescan_work_func() a tomar mucho tiempo y (b) utilizando un controlador pwrctrl que puede estar descargado por alguna razón Cancelar el trabajo pendiente para asegurar que esté terminado antes de que permitamos que se limpien nuestras estructuras de datos. [bhelgaas: tidy commit log]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: renesas_usbhs: Reordenar el manejo del reloj y la administración de energía en la sonda Reordenar la secuencia de inicialización en `usbhs_probe()` para habilitar PM en tiempo de ejecución antes de acceder a los registros, lo que evita posibles fallos debido a relojes no inicializados. Actualmente, en la ruta de la sonda, se accede a los registros antes de habilitar los relojes, lo que lleva a un aborto externo síncrono en el SoC RZ/V2H. El flujo de llamada problemático es el siguiente: usbhs_probe() usbhs_sys_clock_ctrl() usbhs_bset() usbhs_write() iowrite16() <-- Acceso a registros antes de habilitar los relojes Dado que `iowrite16()` se realiza sin garantizar que los relojes requeridos estén habilitados, esto puede llevar a errores de acceso. Para solucionar esto, habilite el tiempo de ejecución de PM temprano en la función de sonda y asegúrese de que los relojes se adquieran antes del acceso al registro, lo que evita fallos como el siguiente en RZ/V2H: [13.272640] Error interno: aborto externo síncrono: 0000000096000010 [#1] PREEMPT SMP [13.280814] Módulos vinculados: cec renesas_usbhs(+) drm_kms_helper fuse drm backlight ipv6 [13.289088] CPU: 1 UID: 0 PID: 195 Comm: (udev-worker) Not tainted 6.14.0-rc7+ #98 [13.296640] Nombre del hardware: Renesas RZ/V2H EVK Board based on r9a09g057h44 (DT) [13.303834] pstate: 60400005 (nZCv daif +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [13.310770] pc : usbhs_bset+0x14/0x4c [renesas_usbhs] [13.315831] lr : usbhs_probe+0x2e4/0x5ac [renesas_usbhs] [13.321138] sp : ffff8000827e3850 [13.324438] x29: ffff8000827e3860 x28: 0000000000000000 x27: ffff8000827e3ca0 [13.331554] x26: ffff8000827e3ba0 x25: ffff800081729668 x24: 0000000000000025 [13.338670] x23: ffff0000c0f08000 x22: 0000000000000000 x21: ffff0000c0f08010 [13.345783] x20: 0000000000000000 x19: ffff0000c3b52080 x18: 00000000ffffffff [13.352895] x17: 000000000000000 x16: 000000000000000 x15: ffff8000827e36ce [13.360009] x14: 00000000000003d7 x13: 000000000000003d7 x12: 0000000000000000 [13.367122] x11: 0000000000000000 x10: 0000000000000aa0 x9: ffff8000827e3750 [13.374235] x8: ffff0000c1850b00 x7: 0000000003826060 x6: 000000000000001c [13.381347] x5 : 000000030d5fcc00 x4 : ffff8000825c0000 x3 : 0000000000000000 [13.388459] x2 : 0000000000000400 x1 : 0000000000000000 x0 : ffff0000c3b52080 [13.395574] Rastreo de llamadas: [13.398013] usbhs_bset+0x14/0x4c [renesas_usbhs] (P) [13.403076] platform_probe+0x68/0xdc [13.406738] really_probe+0xbc/0x2c0 [13.410306] __driver_probe_device+0x78/0x120 [13.414653] driver_probe_device+0x3c/0x154 [13.418825] __driver_attach+0x90/0x1a0 [13.422647] bus_for_each_dev+0x7c/0xe0 [13.426470] driver_attach+0x24/0x30 [13.430032] bus_add_driver+0xe4/0x208 [13.433766] driver_register+0x68/0x130 [13.437587] __platform_driver_register+0x24/0x30 [13.442273] renesas_usbhs_driver_init+0x20/0x1000 [renesas_usbhs] [13.448450] do_one_initcall+0x60/0x1d4 [13.452276] do_init_module+0x54/0x1f8 [13.456014] load_module+0x1754/0x1c98 [13.459750] init_module_from_file+0x88/0xcc [13.464004] __arm64_sys_finit_module+0x1c4/0x328 [13.468689] invoke_syscall+0x48/0x104 [13.472426] el0_svc_common.constprop.0+0xc0/0xe0 [13.477113] do_el0_svc+0x1c/0x28 [13.480415] el0_svc+0x30/0xcc [13.483460] el0t_64_sync_handler+0x10c/0x138 [13.487800] el0t_64_sync+0x198/0x19c [13.491453] Code: 2a0103e1 12003c42 12003c63 8b010084 (79400084) [13.497522] ---[ fin de seguimiento 0000000000000000 ]---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dmaengine: ti: Añadir comprobación de valores NULL en udma_probe(). Devm_kasprintf() devuelve NULL cuando falla la asignación de memoria. Actualmente, udma_probe() no comprueba este caso, lo que provoca una desreferencia de puntero NULL. Añadir comprobación de valores NULL después de devm_kasprintf() para evitar este problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: hwmon: (asus-ec-sensors) comprobar el índice del sensor en read_string(). Evita un posible acceso no válido a memoria cuando no se encuentra el sensor solicitado. find_ec_sensor_index() puede devolver un valor negativo (p. ej., -ENOENT), pero su resultado se utilizó sin comprobarlo, lo que podría provocar un comportamiento indefinido al pasarlo a get_sensor_info(). Se ha añadido una comprobación adecuada para devolver -EINVAL si sensor_index es negativo. Encontrado por el Centro de Verificación de Linux (linuxtesting.org) con SVACE. [groeck: Código de error devuelto por find_ec_sensor_index]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: page_pool: Fix use-after-free en page_pool_recycle_in_ring syzbot informó un uaf en page_pool_recycle_in_ring: BUG: KASAN: slab-use-after-free en lock_release+0x151/0xa30 kernel/locking/lockdep.c:5862 Lectura de tamaño 8 en la dirección ffff8880286045a0 por la tarea syz.0.284/6943 CPU: 0 UID: 0 PID: 6943 Comm: syz.0.284 No contaminado 6.13.0-rc3-syzkaller-gdfa94ce54f41 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 13/09/2024 Rastreo de llamadas: __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:120 print_address_description mm/kasan/report.c:378 [inline] print_report+0x169/0x550 mm/kasan/report.c:489 kasan_report+0x143/0x180 mm/kasan/report.c:602 lock_release+0x151/0xa30 kernel/locking/lockdep.c:5862 __raw_spin_unlock_bh include/linux/spinlock_api_smp.h:165 [inline] _raw_spin_unlock_bh+0x1b/0x40 kernel/locking/spinlock.c:210 spin_unlock_bh include/linux/spinlock.h:396 [inline] ptr_ring_produce_bh include/linux/ptr_ring.h:164 [inline] page_pool_recycle_in_ring net/core/page_pool.c:707 [inline] page_pool_put_unrefed_netmem+0x748/0xb00 net/core/page_pool.c:826 page_pool_put_netmem include/net/page_pool/helpers.h:323 [inline] page_pool_put_full_netmem include/net/page_pool/helpers.h:353 [inline] napi_pp_put_page+0x149/0x2b0 net/core/skbuff.c:1036 skb_pp_recycle net/core/skbuff.c:1047 [inline] skb_free_head net/core/skbuff.c:1094 [inline] skb_release_data+0x6c4/0x8a0 net/core/skbuff.c:1125 skb_release_all net/core/skbuff.c:1190 [inline] __kfree_skb net/core/skbuff.c:1204 [inline] sk_skb_reason_drop+0x1c9/0x380 net/core/skbuff.c:1242 kfree_skb_reason include/linux/skbuff.h:1263 [inline] __skb_queue_purge_reason include/linux/skbuff.h:3343 [inline] root cause is: page_pool_recycle_in_ring ptr_ring_produce spin_lock(&r->producer_lock); WRITE_ONCE(r->queue[r->producer++], ptr) //recycle last page to pool page_pool_release page_pool_scrub page_pool_empty_ring ptr_ring_consume page_pool_return_page //release all page __page_pool_destroy free_percpu(pool->recycle_stats); free(pool) //free spin_unlock(&r->producer_lock); //pool->ring uaf read recycle_stat_inc(pool, ring); page_pool puede estar libre mientras el grupo de páginas recicle la última página del anillo. Se ha añadido una barrera de bloqueo del productor a page_pool_release para evitar que el grupo de páginas esté libre antes de que se hayan reciclado todas las páginas. recycle_stat_inc() está vacío cuando CONFIG_PAGE_POOL_STATS no está habilitado, lo que activará la advertencia de compilación Wempty-body. Se ha añadido una definición para la macro de estadísticas del grupo para corregir la advertencia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: acpi: Evitar la desreferencia de puntero nulo en usb_acpi_add_usb4_devlink(). Como se demuestra en la corrección para update_port_device_state, commit 12783c0b9e2c ("usb: core: Evitar la desreferencia de puntero nulo en update_port_device_state"), usb_hub_to_struct_hub() puede devolver NULL en ciertos escenarios, como durante la desvinculación del controlador del concentrador o en condiciones de ejecuciones de desmontaje, incluso si la estructura usb_device subyacente existe. Además, todos los demás lugares que llaman a usb_hub_to_struct_hub() en el mismo archivo comprueban si hay valores de retorno NULL. Si usb_hub_to_struct_hub() devuelve NULL, el acceso posterior a hub->ports[udev->portnum - 1] provocará una desreferencia de puntero nulo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: iio: adc: ad4851: corrección del manejo del puntero de canal ad4858. El puntero devuelto por ad4851_parse_channels_common() se incrementa internamente a medida que se rellena cada canal. En ad4858_parse_channels(), el mismo puntero se incrementó aún más al configurar los campos ext_scan_type para cada canal. Esto provocó que indio_dev->channels se configurara en un puntero más allá del final de la matriz asignada, lo que podría causar corrupción de memoria o un comportamiento indefinido. Corrija esto iterando sobre los canales utilizando un índice explícito en lugar de incrementar el puntero. Esto preserva el puntero base original y garantiza que todos los metadatos del canal se configuren correctamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: coresight: mantener cscfg_csdev_lock mientras se elimina cscfg de csdev Habrá un posible escenario de ejecución para la configuración de coresight: CPU0 CPU1 (habilitación de rendimiento) cargar módulo cscfg_load_config_sets() activar configuración. // sysfs (sys_active_cnt == 1) ... cscfg_csdev_enable_active_config() lock(csdev->cscfg_csdev_lock) desactiva la configuración // sysfs (sys_activec_cnt == 0) cscfg_unload_config_sets() cscfg_remove_owned_csdev_configs() // aquí se carga la configuración activada por CPU1 unlock(csdev->cscfg_csdev_lock) iterando config_csdev_list podría estar en competencia con la eliminación de la entrada de config_csdev_list. Para resolver esta competencia, mantenga presionada la tecla csdev->cscfg_csdev_lock() mientras cscfg_remove_owned_csdev_configs()

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/connector: solo se llama al auxiliar de audio HDMI plugged cb si no es nulo. Al eliminar el controlador, sound/soc/codecs/hdmi-codec.c llama a plugged_cb con NULL como función de devolución de llamada y codec_dev, como se observa en su función hdmi_remove. El auxiliar de audio HDMI intenta entonces llamar a dicho puntero de función nulo, pero produce un error. Para solucionar esto, ejecute la devolución de llamada solo si fn no es nulo. Esto significa que los miembros .plugged_cb y .plugged_cb_dev se borran correctamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: MGMT: rechazar comandos HCI_CMD_SYNC malformados En 'mgmt_hci_cmd_sync()', verifique si el tamaño de los parámetros pasados en 'struct mgmt_cp_hci_cmd_sync' coincide con el tamaño total de los datos (es decir, 'sizeof(struct mgmt_cp_hci_cmd_sync)' más los bytes finales). De lo contrario, un 'params_len' grande y no válido hará que 'hci_cmd_sync_alloc()' haga 'skb_put_data()' desde un área más allá de la que realmente se pasó a 'mgmt_hci_cmd_sync()'.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: coresight: impide la desactivación de la configuración activa al habilitarla. Al habilitar la configuración activa mediante cscfg_csdev_enable_active_config(), esta podría desactivarse mediante la interfaz sysfs de configfs. Esto podría generar un problema de UAF en el siguiente escenario: CPU0 CPU1 (habilitación sysfs) carga el módulo cscfg_load_config_sets() activa la configuración. // sysfs (sys_active_cnt == 1) ... cscfg_csdev_enable_active_config() lock(csdev->cscfg_csdev_lock) // aquí carga la configuración activada por CPU1 unlock(csdev->cscfg_csdev_lock) desactiva la configuración // sysfs (sys_activec_cnt == 0) cscfg_unload_config_sets() descarga el módulo // acceso a config_desc que se liberó // mientras se descargaba el módulo. cscfg_csdev_enable_config Para solucionar esto, utilice active_cnt de cscfg_config_desc como un recuento de referencia que se mantendrá cuando: - active la configuración. - habilite la configuración activada y coloque la referencia del módulo cuando config_active_cnt == 0.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: serial: Se corrige la posible desreferencia de puntero nulo en mlb_usio_probe(). devm_ioremap() puede devolver NULL en caso de error. Actualmente, mlb_usio_probe() no verifica este caso, lo que podría provocar una desreferencia de puntero NULL. Agregue una comprobación de NULL después de devm_ioremap() para evitar este problema.