Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: de: comprobar el búfer ima-kexec del kernel anterior con los límites de memoria. Actualmente, ima_get_kexec_buffer() no comprueba si el búfer ima-kexec del kernel anterior se encuentra fuera del rango de memoria direccionable. Esto puede provocar un pánico del kernel si el nuevo kernel se inicia con el argumento 'mem=X' y el kernel anterior asignó el búfer ima-kexec fuera de ese rango. El pánico suele tener el siguiente formato: $ sudo kexec --initrd initrd vmlinux --append='mem=16G' ERROR: No se puede controlar el acceso a los datos del kernel en lectura en 0xc000c01fff7f0000 Dirección de instrucción con error: 0xc000000000837974 Oops: Acceso al kernel de área defectuosa, firma: 11 [#1] NIP [c000000000837974] ima_restore_measurement_list+0x94/0x6c0 LR [c00000000083b55c] ima_load_kexec_buffer+0xac/0x160 Rastreo de llamadas: [c00000000371fa80] [c00000000083b55c] ima_load_kexec_buffer+0xac/0x160 [c00000000371fb00] [c0000000020512c4] ima_init+0x80/0x108 [c00000000371fb70] [c0000000020514dc] init_ima+0x4c/0x120 [c00000000371fbf0] [c000000000012240] hacer_una_initcall+0x60/0x2c0 [c00000000371fcc0] [c000000002004ad0] kernel_init_freeable+0x344/0x3ec [c00000000371fda0] [c0000000000128a4] kernel_init+0x34/0x1b0 [c00000000371fe10] [c00000000000ce64] ret_from_kernel_thread+0x5c/0x64 Volcado de instrucciones: f92100b8 f92100c0 90e10090 910100a0 4182050c 282a0017 3bc00000 40810330 7c0802a6 fb610198 7c9b2378 f80101d0 2c090001 40820614 e9240010 ---[ fin del seguimiento 0000000000000000 ]--- Solucione este problema verificando el rango PFN devuelto del ima-kexec-buffer del kernel anterior con page_is_ram() para garantizar los límites de memoria correctos.

Motivo del rechazo: esta autoridad de numeración CVE ha rechazado o retirado esta ID CVE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: ohci-nxp: Se corrige la fuga de recuento de referencias en ohci_hcd_nxp_probe. of_parse_phandle() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: cdns3: se corrige un mensaje de advertencia aleatorio al cargar el controlador. Registro de advertencias: [4.141392] GFP inesperado: 0x4 (GFP_DMA32). Se está solucionando hasta gfp: 0xa20 (GFP_ATOMIC). ¡Corrige tu código! [ 4.150340] CPU: 1 PID: 175 Comm: 1-0050 No contaminado 5.15.5-00039-g2fd9ae1b568c #20 [ 4.158010] Nombre del hardware: Freescale i.MX8QXP MEK (DT) [ 4.163155] Rastreo de llamadas: [ 4.165600] dump_backtrace+0x0/0x1b0 [ 4.169286] show_stack+0x18/0x68 [ 4.172611] dump_stack_lvl+0x68/0x84 [ 4.176286] dump_stack+0x18/0x34 [ 4.179613] kmalloc_fix_flags+0x60/0x88 [ 4.183550] new_slab+0x334/0x370 [ 4.186878] ___slab_alloc.part.108+0x4d4/0x748 [ 4.191419] __slab_alloc.isra.109+0x30/0x78 [ 4.195702] kmem_cache_alloc+0x40c/0x420 [ 4.199725] dma_pool_alloc+0xac/0x1f8 [ 4.203486] cdns3_allocate_trb_pool+0xb4/0xd0 pool_alloc_page(struct dma_pool *pool, gfp_t mem_flags) { ... page = kmalloc(sizeof(*page), mem_flags); page->vaddr = dma_alloc_coherent(pool->dev, pool->allocation, &page->dma, mem_flags); ... } kmalloc se llamó con mem_flags, que se transmite en cdns3_allocate_trb_pool() y tiene indicadores GFP_DMA32. kmall_fix_flags() informa una advertencia. GFP_DMA32 no es útil. dma_alloc_coherent() gestionará correctamente la región de memoria DMA mediante pool->dev. GFP_DMA32 se puede eliminar de forma segura.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mtd: parsers: ofpart: Se corrige la fuga de recuento de referencias en bcm4908_partitions_fw_offset. of_find_node_by_path() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mtd: particiones: Se corrige la fuga de recuento de referencias en parse_redboot_of. of_get_child_by_name() devuelve un puntero de nodo con el recuento de referencias incrementado. Debemos usar of_node_put() cuando ya no sea necesario. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: microchip: Se corrige la fuga de recuento de referencias en mc_pcie_init_irq_domains(). of_get_next_child() devuelve un puntero de nodo con el recuento de referencias incrementado, por lo que debemos usar of_node_put() cuando ya no lo necesitemos. mc_pcie_init_irq_domains() solo llama a of_node_put() en la ruta normal, y no lo detecta en algunas rutas con errores. Se añade la falta de of_node_put() para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: cp2112: evitar un desbordamiento de búfer en cp2112_xfer() Advertencias de Smatch: drivers/hid/hid-cp2112.c:793 Error de cp2112_xfer(): __memcpy() 'data->block[1]' demasiado pequeño (33 frente a 255) drivers/hid/hid-cp2112.c:793 Error de cp2112_xfer(): __memcpy() 'buf' demasiado pequeño (64 frente a 255) La variable 'read_length' la proporciona 'data->block[0]', que proviene del usuario, y puede tomar un valor entre 0 y 255. Añada un límite superior a la variable 'read_length' para evitar un desbordamiento de búfer en memcpy().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI: mediatek-gen3: Se corrige la fuga de recuento de referencias en mtk_pcie_init_irq_domains(). of_get_child_by_name() devuelve un puntero de nodo con el recuento de referencias incrementado, por lo que debemos usar of_node_put() cuando ya no lo necesitemos. Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: host: Se corrige la fuga de recuento de referencias en ehci_hcd_ppc_of_probe. of_find_compatible_node() devuelve un puntero de nodo con el recuento de referencias incrementado; al finalizar, se debe usar of_node_put(). Se ha añadido la función of_node_put() que falta para evitar la fuga de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: núcleo del controlador: corrige un posible bloqueo en __driver_attach En la función __driver_attach, también hay un problema de bloqueo AA, como el commit b232b02bf3c2 ("núcleo del controlador: corrige el bloqueo en __device_attach"). pila como el commit b232b02bf3c2 ("núcleo del controlador: corrige el bloqueo en __device_attach"). lista a continuación: En la función __driver_attach, la lógica de retención de bloqueo es la siguiente: ... __driver_attach if (driver_allows_async_probing(drv)) device_lock(dev) // obtener bloqueo dev async_schedule_dev(__driver_attach_async_helper, dev); // func async_schedule_node async_schedule_node_domain(func) entry = kzalloc(sizeof(struct async_entry), GFP_ATOMIC); /* cuando falla o hay límite de trabajo, se sincroniza para ejecutar func, pero __driver_attach_async_helper obtendrá el bloqueo dev, lo que provocará un bloqueo AA. */ if (!entry || atomic_read(&entry_count) > MAX_WORK) { func; else queue_work_node(node, system_unbound_wq, &entry->work) device_unlock(dev) Como se muestra arriba, cuando se permite hacer sondeos asincrónicos, debido a falta de memoria o límite de trabajo, no se permite el trabajo asincrónico, en su lugar se ejecuta la sincronización. Esto provocará un bloqueo AA debido a que __driver_attach_async_helper obtiene el bloqueo dev. Reproducir: y se puede reproducir haciendo que la condición (if (!entry || atomic_read(&entry_count) > MAX_WORK)) sea insostenible, como se muestra a continuación: [ 370.785650] "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" deshabilita este mensaje. [ 370.787154] tarea:swapper/0 estado:D pila: 0 pid: 1 ppid: 0 indicadores:0x00004000 [ 370.788865] Seguimiento de llamadas: [ 370.789374] [ 370.789841] __schedule+0x482/0x1050 [ 370.790613] schedule+0x92/0x1a0 [ 370.791290] schedule_preempt_disabled+0x2c/0x50 [ 370.792256] __mutex_lock.isra.0+0x757/0xec0 [ 370.793158] __mutex_lock_slowpath+0x1f/0x30 [ 370.794079] mutex_lock+0x50/0x60 [ 370.794795] __device_driver_lock+0x2f/0x70 [ 370.795677] ? driver_probe_device+0xd0/0xd0 [ 370.796576] __driver_attach_async_helper+0x1d/0xd0 [ 370.797318] ? driver_probe_device+0xd0/0xd0 [ 370.797957] async_schedule_node_domain+0xa5/0xc0 [ 370.798652] async_schedule_node+0x19/0x30 [ 370.799243] __driver_attach+0x246/0x290 [ 370.799828] ? driver_allows_async_probing+0xa0/0xa0 [ 370.800548] bus_for_each_dev+0x9d/0x130 [ 370.801132] driver_attach+0x22/0x30 [ 370.801666] bus_add_driver+0x290/0x340 [ 370.802246] driver_register+0x88/0x140 [ 370.802817] ? virtio_scsi_init+0x116/0x116 [ 370.803425] scsi_register_driver+0x1a/0x30 [ 370.804057] init_sd+0x184/0x226 [ 370.804533] do_one_initcall+0x71/0x3a0 [ 370.805107] kernel_init_freeable+0x39a/0x43a [ 370.805759] ? rest_init+0x150/0x150 [ 370.806283] kernel_init+0x26/0x230 [ 370.806799] ret_from_fork+0x1f/0x30 Para corregir el bloqueo, mueva async_schedule_dev fuera de device_lock, como podemos ver, en async_schedule_node_domain, el parámetro de queue_work_node es system_unbound_wq, por lo que puede aceptar operaciones concurrentes, lo que tampoco cambiará la lógica del código y no conducirá a un bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: kernfs: se corrige una posible desreferencia de punteros NULL en __kernfs_remove. Cuando lockdep está habilitado, lockdep_assert_held_write podría causar una posible desreferencia de punteros NULL. Se corrigen las siguientes advertencias de coincidencia: fs/kernfs/dir.c:1353 __kernfs_remove() warn: variable desreferenciada antes de la comprobación 'kn' (véase la línea 1346).