Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Thunderbolt: Se corrige la pérdida de memoria en el margining. La memoria para usb4->margining también debe liberarse para el puerto ascendente del router, aunque el directorio debugfs se libera al eliminar el dispositivo del router. Se soluciona.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: HCI: Corrección de un error global fuera de los límites. Para repetir una matriz de longitud variable, hci_init_stage_sync(stage) considera que stage[i] es válido siempre que stage[i-1].func lo sea. Por lo tanto, el último elemento de stage[].func debería ser intencionalmente inválido, como hicieron hci_init0[], le_init2[] y otros. Sin embargo, amp_init1[] y amp_init2[] no tienen ningún elemento inválido, lo que permite que hci_init_stage_sync() siga accediendo a amp_init1[] por encima de su rango válido. Este parche corrige esto añadiendo {} al final de amp_init1[] y amp_init2[]. ====================================================================== ERROR: KASAN: global fuera de los límites en hci_dev_open_sync ( /v6.2-bzimage/net/bluetooth/hci_sync.c:3154 /v6.2-bzimage/net/bluetooth/hci_sync.c:3343 /v6.2-bzimage/net/bluetooth/hci_sync.c:4418 /v6.2-bzimage/net/bluetooth/hci_sync.c:4609 /v6.2-bzimage/net/bluetooth/hci_sync.c:4689) Lectura de tamaño 8 en la dirección ffffffffaed1ab70 por tarea kworker/u5:0/1032 CPU: 0 PID: 1032 Comm: kworker/u5:0 No contaminado 6.2.0 #3 Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS 1.15.0-1 04 Cola de trabajo: hci1 hci_power_on Rastreo de llamadas: dump_stack_lvl (/v6.2-bzimage/lib/dump_stack.c:107 (discriminator 1)) print_report (/v6.2-bzimage/mm/kasan/report.c:307 /v6.2-bzimage/mm/kasan/report.c:417) ? hci_dev_open_sync (/v6.2-bzimage/net/bluetooth/hci_sync.c:3154 /v6.2-bzimage/net/bluetooth/hci_sync.c:3343 /v6.2-bzimage/net/bluetooth/hci_sync.c:4418 /v6.2-bzimage/net/bluetooth/hci_sync.c:4609 /v6.2-bzimage/net/bluetooth/hci_sync.c:4689) kasan_report (/v6.2-bzimage/mm/kasan/report.c:184 /v6.2-bzimage/mm/kasan/report.c:519) ? hci_dev_open_sync (/v6.2-bzimage/net/bluetooth/hci_sync.c:3154 /v6.2-bzimage/net/bluetooth/hci_sync.c:3343 /v6.2-bzimage/net/bluetooth/hci_sync.c:4418 /v6.2-bzimage/net/bluetooth/hci_sync.c:4609 /v6.2-bzimage/net/bluetooth/hci_sync.c:4689) hci_dev_open_sync (/v6.2-bzimage/net/bluetooth/hci_sync.c:3154 /v6.2-bzimage/net/bluetooth/hci_sync.c:3343 /v6.2-bzimage/net/bluetooth/hci_sync.c:4418 /v6.2-bzimage/net/bluetooth/hci_sync.c:4609 /v6.2-bzimage/net/bluetooth/hci_sync.c:4689) ? __pfx_hci_dev_open_sync (/v6.2-bzimage/net/bluetooth/hci_sync.c:4635) ? bloqueo mutex (/v6.2-bzimage/./arch/x86/include/asm/atomic64_64.h:190 /v6.2-bzimage/./include/linux/atomic/atomic-long.h:443 /v6.2-bzimage/./include/linux/atomic/atomic-instrumented.h:1781 /v6.2-bzimage/kernel/locking/mutex.c:171 /v6.2-bzimage/kernel/locking/mutex.c:285) ? __pfx_mutex_lock (/v6.2-bzimage/kernel/locking/mutex.c:282) hci_power_on (/v6.2-bzimage/net/bluetooth/hci_core.c:485 /v6.2-bzimage/net/bluetooth/hci_core.c:984) ? __pfx_hci_power_on (/v6.2-bzimage/net/bluetooth/hci_core.c:969) ? leer_palabra_a_la_vez (/v6.2-bzimage/./include/asm-generic/rwonce.h:85) ? strscpy (/v6.2-bzimage/./arch/x86/include/asm/word-at-a-time.h:62 /v6.2-bzimage/lib/string.c:161) process_one_work (/v6.2-bzimage/kernel/workqueue.c:2294) work_thread (/v6.2-bzimage/./include/linux/list.h:292 /v6.2-bzimage/kernel/workqueue.c:2437) ? __pfx_worker_thread (/v6.2-bzimage/kernel/workqueue.c:2379) kthread (/v6.2-bzimage/kernel/kthread.c:376) ? __pfx_kthread (/v6.2-bzimage/kernel/kthread.c:331) ret_from_fork (/v6.2-bzimage/arch/x86/entry/entry_64.S:314) La dirección con errores pertenece a la variable: amp_init1+0x30/0x60 La dirección con errores pertenece a la página física: page:000000003a157ec6 refcount:1 mapcount:0 mapping:000000000000000 ia flags: 0x200000000001000(reserved|node=0|zone=2) raw: 0200000000001000 ffffea0005054688 ffffea0005054688 000000000000000 raw: 0000000000000000 0000000000000000 00000001ffffffff 0000000000000000 página volcada porque: kasan: mal acceso detectado Estado de la memoria alrededor de la dirección con errores: fffffffaed1aa00: f9 f9 f9 f9 00 00 00 00 f9 f9 f9 f9 00 00 00 00 ffffffffaed1aa80: 00 00 00 00 f9 f9 f9 f9 00 00 00 00 00 00 00 00 >ffffffffaed1ab00 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: qla2xxx: Sincronizar el recuento de IOCB para que esté en orden Se observó un bloqueo del sistema con el siguiente seguimiento de llamada: ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000000 PGD 0 P4D 0 Oops: 0000 [#1] PREEMPT SMP NOPTI CPU: 15 PID: 86747 Comm: nvme Kdump: cargado No contaminado 6.2.0+ #1 Nombre del hardware: Dell Inc. PowerEdge R6515/04F3CJ, BIOS 2.7.3 31/03/2022 RIP: 0010:__wake_up_common+0x55/0x190 Código: 41 f6 01 04 0f 85 b2 00 00 00 48 8b 43 08 4c 8d 40 e8 48 8d 43 08 48 89 04 24 48 89 c6\ 49 8d 40 18 48 39 c6 0f 84 e9 00 00 00 <49> 8b 40 18 89 6c 24 14 31 ed 4c 8d 60 e8 41 8b 18 f6 c3 04 75 5d RSP: 0018:ffffb05a82afbba0 EFLAGS: 00010082 RAX: 00000000000000000 RBX: ffff8f9b83a00018 RCX: 0000000000000000 RDX: 0000000000000001 RSI: ffff8f9b83a00020 RDI: ffff8f9b83a00018 RBP: 0000000000000001 R08: ffffffffffffffe8 R09: ffffb05a82afbbf8 R10: 70735f7472617473 R11: 5f30307832616c71 R12: 0000000000000001 R13: 0000000000000003 R14: 0000000000000000 R15: 0000000000000000 FS: 00007f815cf4c740(0000) GS:ffff8f9eeed80000(0000) knlGS:000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000000000000000 CR3: 000000010633a000 CR4: 0000000000350ee0 Rastreo de llamadas: __wake_up_common_lock+0x83/0xd0 qla_nvme_ls_req+0x21b/0x2b0 [qla2xxx] __nvme_fc_send_ls_req+0x1b5/0x350 [nvme_fc] nvme_fc_xmt_disconnect_assoc+0xca/0x110 [nvme_fc] nvme_fc_delete_association+0x1bf/0x220 [nvme_fc] ? nvme_remove_namespaces+0x9f/0x140 [núcleo_nvme] nvme_do_delete_ctrl+0x5b/0xa0 [núcleo_nvme] nvme_sysfs_delete+0x5f/0x70 [núcleo_nvme] kernfs_fop_write_iter+0x12b/0x1c0 vfs_write+0x2a3/0x3b0 ksys_write+0x5f/0xe0 do_syscall_64+0x5c/0x90 ? syscall_exit_work+0x103/0x130 ? syscall_exit_to_user_mode+0x12/0x30 ? do_syscall_64+0x69/0x90 ? exit_to_user_mode_loop+0xd0/0x130 ? exit_to_user_mode_prepare+0xec/0x100 ? syscall_exit_to_user_mode+0x12/0x30 ? do_syscall_64+0x69/0x90 ? syscall_exit_to_user_mode+0x12/0x30 ? do_syscall_64+0x69/0x90 entry_SYSCALL_64_after_hwframe+0x72/0xdc RIP: 0033:0x7f815cd3eb97 Los conteos de IOCB están desordenados, lo que impediría la salida de cualquier comando y, posteriormente, bloquearía el sistema. Sincronice el conteo de IOCB para que esté en el orden correcto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: platform/chrome: cros_ec_chardev: se corrige la fuga de datos del kernel desde ioctl. Es posible acceder a los datos de la página del kernel proporcionando un valor `insize` mayor en la estructura cros_ec_command[1] al invocar comandos del host EC. Se corrige utilizando memoria a cero. [1]: https://elixir.bootlin.com/linux/v6.2/source/include/linux/platform_data/cros_ec_proto.h#L74

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dm stats: comprobar y propagar el fallo de alloc_percpu. Comprueba el valor de retorno de alloc_precpu() y devuelve un error de dm_stats_init() si falla. Actualice alloc_dev() para que falle si dm_stats_init() falla. De lo contrario, se producirá una desreferencia de puntero nulo en dm_stats_cleanup(), incluso si dm-stats no se está utilizando activamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: gadget: u_audio: no permitir que el espacio de usuario bloquee la desvinculación del controlador. En la llamada de desvinculación para f_uac1 y f_uac2, una llamada a snd_card_free() mediante g_audio_cleanup() desconectará la tarjeta y esperará a que se liberen todos los recursos, lo que ocurre cuando el recuento de referencias llega a cero. Dado que el espacio de usuario puede mantener el recuento de referencias incrementado al no cerrar el descriptor de archivo correspondiente, la llamada a desvinculación podría bloquearse indefinidamente. Esto puede causar un bloqueo durante el reinicio, como lo demuestra la siguiente tarea bloqueada observada en mi máquina: task:reboot state:D stack:0 pid:2827 ppid:569 flags:0x0000000c Rastreo de llamadas: __switch_to+0xc8/0x140 __schedule+0x2f0/0x7c0 schedule+0x60/0xd0 schedule_timeout+0x180/0x1d4 wait_for_completion+0x78/0x180 snd_card_free+0x90/0xa0 g_audio_cleanup+0x2c/0x64 afunc_unbind+0x28/0x60 ... kernel_restart+0x4c/0xac __do_sys_reboot+0xcc/0x1ec __arm64_sys_reboot+0x28/0x30 invoke_syscall+0x4c/0x110 ... El problema también se puede observar al abrir la tarjeta con arecord y luego detener el proceso a través del shell antes de desvincular: # arecord -D hw:UAC2Gadget -f S32_LE -c 2 -r 48000 /dev/null Recording WAVE '/dev/null' : Signed 32 bit Little Endian, Rate 48000 Hz, Stereo ^Z[1]+ Stopped arecord -D hw:UAC2Gadget -f S32_LE -c 2 -r 48000 /dev/null # echo gadget.0 > /sys/bus/gadget/drivers/configfs-gadget/unbind (observe que el comando de desvinculación nunca finaliza) Corrija el problema usando snd_card_free_when_closed() en su lugar, que aún desconectará la tarjeta como se desea, pero pospondrá la tarea de liberar los recursos al núcleo una vez que el espacio de usuario cierre su descriptor de archivo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Bluetooth: Corregir condición de ejecución en hci_cmd_sync_clear Existe una posible condición de ejecución en hci_cmd_sync_work y hci_cmd_sync_clear, y podría provocar un use-after-free. Por ejemplo, hci_cmd_sync_work se añade a 'req_workqueue' después de cancel_work_sync La entrada de 'cmd_sync_work_list' puede liberarse en hci_cmd_sync_clear y provocar un pánico del kernel cuando se utiliza en 'hci_cmd_sync_work'. Aquí está el seguimiento de la llamada: dump_stack_lvl+0x49/0x63 print_report.cold+0x5e/0x5d3 ? hci_cmd_sync_work+0x282/0x320 kasan_report+0xaa/0x120 ? hci_cmd_sync_work+0x282/0x320 __asan_report_load8_noabort+0x14/0x20 hci_cmd_sync_work+0x282/0x320 process_one_work+0x77b/0x11c0 ? _raw_spin_lock_irq+0x8e/0xf0 worker_thread+0x544/0x1180 ? poll_idle+0x1e0/0x1e0 kthread+0x285/0x320 ? process_one_work+0x11c0/0x11c0 ? kthread_complete_and_exit+0x30/0x30 ret_from_fork+0x22/0x30 Allocated by task 266: kasan_save_stack+0x26/0x50 __kasan_kmalloc+0xae/0xe0 kmem_cache_alloc_trace+0x191/0x350 hci_cmd_sync_queue+0x97/0x2b0 hci_update_passive_scan+0x176/0x1d0 le_conn_complete_evt+0x1b5/0x1a00 hci_le_conn_complete_evt+0x234/0x340 hci_le_meta_evt+0x231/0x4e0 hci_event_packet+0x4c5/0xf00 hci_rx_work+0x37d/0x880 process_one_work+0x77b/0x11c0 worker_thread+0x544/0x1180 kthread+0x285/0x320 ret_from_fork+0x22/0x30 Freed by task 269: kasan_save_stack+0x26/0x50 kasan_set_track+0x25/0x40 kasan_set_free_info+0x24/0x40 ____kasan_slab_free+0x176/0x1c0 __kasan_slab_free+0x12/0x20 slab_free_freelist_hook+0x95/0x1a0 kfree+0xba/0x2f0 hci_cmd_sync_clear+0x14c/0x210 hci_unregister_dev+0xff/0x440 vhci_release+0x7b/0xf0 __fput+0x1f3/0x970 ____fput+0xe/0x20 task_work_run+0xd4/0x160 do_exit+0x8b0/0x22a0 do_group_exit+0xba/0x2a0 get_signal+0x1e4a/0x25b0 arch_do_signal_or_restart+0x93/0x1f80 exit_to_user_mode_prepare+0xf5/0x1a0 syscall_exit_to_user_mode+0x26/0x50 ret_from_fork+0x15/0x30

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tee: amdtee: corrección de la condición de ejecución en amdtee_open_session. Existe una posible condición de ejecución en amdtee_open_session que podría provocar un use-after-free. Por ejemplo, en amdtee_open_session(), después de configurar sess->sess_mask y antes de configurar: sess->session_info[i] = session_info; si amdtee_close_session() cierra esta misma sesión, se liberará la estructura de datos 'sess', lo que provocará un pánico del kernel al acceder a 'sess' dentro de amdtee_open_session(). La solución es configurar el bit sess->sess_mask como último paso en amdtee_open_session().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: typec: tcpm: se corrige la advertencia al manejar el mensaje discover_identity Dado que tanto el dispositivo de origen como el receptor pueden enviar el mensaje discover_identity en PD3, el kernel puede mostrar la siguiente advertencia: ------------[ cortar aquí ]------------ ADVERTENCIA: CPU: 0 PID: 169 en drivers/usb/typec/tcpm/tcpm.c:1446 tcpm_queue_vdm+0xe0/0xf0 Módulos vinculados: CPU: 0 PID: 169 Comm: 1-0050 No contaminado 6.1.1-00038-g6a3c36cf1da2-dirty #567 Nombre del hardware: Placa NXP i.MX8MPlus EVK (DT) pstate: 20000005 (nzCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc : tcpm_queue_vdm+0xe0/0xf0 lr : tcpm_queue_vdm+0x2c/0xf0 sp : ffff80000c19bcd0 x29: ffff80000c19bcd0 x28: 0000000000000001 x27: ffff0000d11c8ab8 x26: ffff0000d11cc000 x25: 0000000000000000 x24: 00000000ff008081 x23: 000000000000001 x22: 00000000ff00a081 x21: ffff80000c19bdbc x20: 0000000000000000 x19: ffff0000d11c8080 x18: ffffffffffffffff x17: 0000000000000000 x16: 0000000000000000 x15: ffff0000d716f580 x14: 0000000000000001 x13: ffff0000d716f507 x12: 000000000000001 x11: 000000000000000 x10: 000000000000020 x9 : 00000000000ee098 x8 : 00000000ffffffff x7 : 000000000000001c x6 : ffff0000d716f580 x5 : 0000000000000000 x4 : 0000000000000000 x3 : 0000000000000000 x2 : ffff80000c19bdbc x1 : 00000000ff00a081 x0 : 0000000000000004 Rastreo de llamadas: tcpm_queue_vdm+0xe0/0xf0 tcpm_pd_rx_handler+0x340/0x1ab0 kthread_worker_fn+0xcc/0x18c kthread+0x10c/0x110 ret_from_fork+0x10/0x20 ---[ fin del seguimiento 000000000000000 ]--- Las siguientes secuencias pueden activar esta advertencia: tcpm_send_discover_work(trabajo) tcpm_send_vdm(puerto, USB_SID_PD, CMD_DISCOVER_IDENT, NULL, 0); tcpm_queue_vdm(puerto, encabezado, datos, recuento); puerto->vdm_state = VDM_STATE_READY; vdm_state_machine_work(trabajo); <-- se recibió discover_identity del socio vdm_run_state_machine(puerto); puerto->vdm_state = VDM_STATE_SEND_MESSAGE; mod_vdm_delayed_work(puerto, x); tcpm_pd_rx_handler(trabajo); tcpm_pd_data_request(port, msg); tcpm_handle_vdm_request(port, msg->payload, cnt); tcpm_queue_vdm(port, response[0], &response[1], rlen - 1); --> WARN_ON(port->vdm_state > VDM_STATE_DONE); En este caso, la máquina de estados podría enviar el mensaje de descubrimiento de identidad más tarde si omitimos el mensaje de descubrimiento de identidad actual. Por lo tanto, debemos procesar primero el mensaje recibido y anular el mensaje de descubrimiento de identidad pendiente sin previo aviso. Posteriormente, una operación de envío de descubrimiento retrasado enviará el mensaje de descubrimiento de identidad nuevamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: ucsi: Se corrige la desreferencia del puntero nulo en ucsi_connector_change(). Cuando ucsi_init() falla, ucsi->connector es nulo; sin embargo, en el caso de ucsi_acpi, aún pueden aparecer eventos que provocan que el código ucs_acpi llame a ucsi_connector_change(), que a su vez desreferencia el puntero nulo ucsi->connector. Para solucionar esto, no configure ucsi->ntfy dentro de ucsi_init() hasta que ucsi_init() se haya ejecutado correctamente, de modo que ucsi_connector_change() ignore los eventos, ya que UCSI_ENABLE_NTFY_CONNECTOR_CHANGE no está configurado en la máscara ntfy.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: intel-ish-hid: ipc: Se corrige un posible fallo de use after free en la función de trabajo. Cuando se recibe un mensaje de notificación de reinicio de IPC, el ISR programa una función de trabajo y le transfiere el dispositivo ISHTP mediante un puntero global ishtp_dev. Si ish_probe() falla, se liberan los recursos del dispositivo administrados por devm, incluyendo ishtp_dev, pero el trabajo no se cancela, lo que provoca un fallo de use after free cuando la función de trabajo intenta acceder a ishtp_dev. En su lugar, utilice devm_work_autocancel() para que el trabajo se cancele automáticamente si falla la sonda.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ca8210: corrige el acceso negativo a la matriz mac_len. Este parche corrige un acceso de desbordamiento de búfer de skb->data si falla ieee802154_hdr_peek_addrs().