Vulnerabilidades

PAM-PKCS#11 es un módulo de inicio de sesión de Linux-PAM que permite un inicio de sesión de usuario basado en certificado X.509. Antes de la versión 0.6.13, si cert_policy se configuraba en none (el valor predeterminado), entonces pam_pkcs11 solo verificaba si el usuario puede iniciar sesión en el token. Un atacante puede crear un token diferente con los datos públicos del usuario (por ejemplo, el certificado del usuario) y un PIN conocido por el atacante. Si no se requiere una firma con la clave privada, entonces el atacante puede iniciar sesión como usuario con ese token creado. El valor predeterminado de *no* verificar la firma de la clave privada se ha cambiado con el commit commi6638576892b59a99389043c90a1e7dd4d783b921, por lo que todas las versiones que comiencen con pam_pkcs11-0.6.0 deberían verse afectadas. Como workaround, en `pam_pkcs11.conf`, establezca al menos `cert_policy = signature;`.

OpenProject es un software de gestión de proyectos basado en la web y de código abierto. En versiones anteriores a la 15.2.1, la aplicación no puede depurar correctamente la entrada del usuario antes de mostrarla en la sección Gestión de grupos. Los grupos creados con etiquetas de script HTML no se escapan correctamente antes de mostrarlos en un proyecto. El problema se ha resuelto en la versión 15.2.1 de OpenProject. Aquellos que no puedan actualizar pueden aplicar el parche manualmente.

Net::IMAP implementa la funcionalidad del cliente del Protocolo de acceso a mensajes de Internet (IMAP) en Ruby. A partir de la versión 0.3.2 y antes de las versiones 0.3.8, 0.4.19 y 0.5.6, existe la posibilidad de denegación de servicio por agotamiento de la memoria en el analizador de respuestas de `net-imap`. En cualquier momento mientras el cliente esté conectado, un servidor malintencionado puede enviar datos `uid-set` altamente comprimidos que son leídos automáticamente por el hilo receptor del cliente. El analizador de respuestas utiliza `Range#to_a` para convertir los datos `uid-set` en matrices de números enteros, sin limitación en el tamaño expandido de los rangos. Las versiones 0.3.8, 0.4.19, 0.5.6 y posteriores solucionan este problema. Hay detalles adicionales para la configuración adecuada de las versiones corregidas y la compatibilidad con versiones anteriores disponibles en el Aviso de seguridad de GitHub.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring/rsrc: requiere que los búferes clonados compartan contextos de contabilidad Cuando se utiliza IORING_REGISTER_CLONE_BUFFERS para clonar búferes de la instancia A de uring a la instancia B de uring, donde A y B utilizan diferentes MM para la contabilidad, la contabilidad puede fallar: si la instancia A de uring se cierra antes que la instancia B de uring, los contadores de memoria fijada para la instancia B de uring se reducirán, aunque la memoria fijada se contabilizó originalmente a través de la instancia A de uring; por lo que la MM de la instancia B de uring puede terminar con memoria bloqueada negativa.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cachestat: corregir la comprobación de permisos de las estadísticas de caché de página Cuando se añadió la llamada al sistema 'cachestat()' en el commit cf264e1329fb ("cachestat: implementar la llamada al sistema cachestat"), se suponía que era una versión mucho más conveniente (y de mayor rendimiento) de mincore() que no necesitaba asignar cosas al espacio de direcciones virtuales del usuario para funcionar. Pero terminó faltando la corrección de "comprobar la capacidad de escritura o la propiedad" para mincore(), realizada en el commit 134fca9063ad ("mm/mincore.c: hacer que mincore() sea más conservador"). Esto solo añade una lógica equivalente a 'cachestat()', modificada para el contexto del archivo (en lugar de vma).

PAM-PKCS#11 es un módulo de inicio de sesión de Linux-PAM que permite un inicio de sesión de usuario basado en certificado X.509. En las versiones 0.6.12 y anteriores, el módulo pam_pkcs11 genera un error de segmentación cuando un usuario presiona Ctrl-C/Ctrl-D cuando se le solicita un PIN. Cuando un usuario no ingresa ningún PIN, `pam_get_pwd` nunca inicializará el puntero del búfer de contraseña y, como tal, `cleanse` intentará desreferenciar un puntero no inicializado. En mi sistema, este puntero tiene el valor 3 la mayor parte del tiempo cuando se ejecuta sudo y, como tal, generará un error de segmentación. El impacto más probable en un sistema afectado por este problema es un impacto en la disponibilidad debido a un bloqueo de un daemon que usa PAM. Al momento de la publicación, no hay disponible un parche para el problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: zswap: sincronizar correctamente la liberación de recursos durante la desconexión en caliente de la CPU En zswap_compress() y zswap_decompress(), se recupera y se utiliza en todo momento el acomp_ctx por CPU de la CPU actual al comienzo de la operación. Sin embargo, dado que ni la preempción ni la migración están deshabilitadas, es posible que la operación continúe en una CPU diferente. Si se desconecta en caliente la CPU original mientras el acomp_ctx todavía está en uso, nos encontramos con un error de UAF ya que algunos de los recursos adjuntos al acomp_ctx se liberan durante la desconexión en caliente en zswap_cpu_comp_dead() (es decir, acomp_ctx.buffer, acomp_ctx.req o acomp_ctx.acomp). El problema se introdujo en el commit 1ec3b5fe6eec ("mm/zswap: pasar a usar la API crypto_acomp para la aceleración de hardware") cuando se realizó el cambio a la API crypto_acomp. Antes de eso, el crypto_comp por CPU se recuperaba usando get_cpu_ptr() que deshabilita la preempción y se asegura de que la CPU no pueda irse de debajo de nosotros. La preempción no se puede deshabilitar con la API crypto_acomp ya que se necesita un contexto inactivo. Use acomp_ctx.mutex para sincronizar las devoluciones de llamadas hotplug de la CPU que asignan y liberan recursos con rutas de compresión/descompresión. Asegúrese de que acomp_ctx.req sea NULL cuando se liberan los recursos. En las rutas de compresión/descompresión, verifique si acomp_ctx.req es NULL después de adquirir el mutex (lo que significa que la CPU estaba fuera de línea) y vuelva a intentarlo en la nueva CPU. La inicialización de acomp_ctx.mutex se mueve de la devolución de llamada hotplug de la CPU a la inicialización del grupo donde pertenece (donde se asigna el mutex). Además de agregar claridad, esto asegura que la conexión en caliente de la CPU no pueda reinicializar un mutex que ya está bloqueado por compresión/descompresión. Anteriormente se intentó una solución manteniendo pulsada la tecla cpus_read_lock() [1]. Esto habría provocado un posible bloqueo, ya que es posible que el código que ya mantiene el bloqueo caiga en recuperación y entre en zswap (provocando un bloqueo). También se intentó una solución utilizando SRCU para la sincronización, pero Johannes señaló que no se puede utilizarsynchronous_srcu() en los notificadores de conexión en caliente de la CPU [2]. Workarounds que se consideraron/intentaron y que podrían haber funcionado: - Refcounting el acomp_ctx por CPU. Esto implica complejidad en la gestión de la ejecución entre el refcount que cae a cero en zswap_[de]compress() y el refcount que se reinicializa cuando la CPU está en línea. - Deshabilitar la migración antes de obtener el acomp_ctx por CPU [3], pero eso no se recomienda y es un martillo mucho más grande de lo necesario, y podría dar lugar a problemas de rendimiento sutiles. [1]https://lkml.kernel.org/20241219212437.2714151-1-yosryahmed@google.com/ [2]https://lkml.kernel.org/20250107074724.1756696-2-yosryahmed@google.com/ [3]https://lkml.kernel.org/20250107222236.2715883-2-yosryahmed@google.com/ [yosryahmed@google.com: eliminar comentario] Enlace: https://lkml.kernel.org/r/CAJD7tkaxS1wjn+swugt8QCvQ-rVF5RZnjxwPGX17k8x9zSManA@mail.gmail.com

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vfio/platform: comprueba que los límites de las llamadas al sistema de lectura/escritura count y offset se pasan desde el espacio del usuario y no se comprueban, solo offset está limitado a 40 bits, que se pueden usar para leer/escribir fuera de los límites del dispositivo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/v3d: Asignar puntero de trabajo a NULL antes de señalar la valla En el commit e4b5ccd392b9 ("drm/v3d: Asegurarse de que el puntero de trabajo esté establecido en NULL después de la finalización del trabajo"), introdujimos un cambio para asignar el puntero de trabajo a NULL después de completar un trabajo, lo que indica la finalización del trabajo. Sin embargo, este enfoque creó una condición de ejecución entre la cola de trabajo del programador DRM y el hilo de ejecución de IRQ. Tan pronto como se señala la valla en el hilo de ejecución de IRQ, comienza a ejecutarse un nuevo trabajo. Esto da como resultado una condición de ejecución donde el hilo de ejecución de IRQ establece el puntero de trabajo en NULL simultáneamente mientras la función `run_job()` asigna un nuevo trabajo al puntero. Esta condición de ejecución puede conducir a una desreferencia de puntero NULL si el hilo de ejecución de IRQ establece el puntero de trabajo en NULL después de que `run_job()` lo asigne al nuevo trabajo. Cuando se completa el nuevo trabajo y la GPU emite una interrupción, se activa `v3d_irq()`, lo que puede provocar un bloqueo. [ 466.310099] No se puede gestionar la desreferencia del puntero NULL del núcleo en la dirección virtual 00000000000000c0 [ 466.318928] Mem abort info: [ 466.321723] ESR = 0x0000000096000005 [ 466.325479] EC = 0x25: DABT (current EL), IL = 32 bits [ 466.330807] SET = 0, FnV = 0 [ 466.333864] EA = 0, S1PTW = 0 [ 466.337010] FSC = 0x05: level 1 translation fault [ 466.341900] Data abort info: [ 466.344783] ISV = 0, ISS = 0x00000005, ISS2 = 0x00000000 [ 466.350285] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 466.355350] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 466.360677] user pgtable: 4k pages, 39-bit VAs, pgdp=0000000089772000 [ 466.367140] [00000000000000c0] pgd=0000000000000000, p4d=0000000000000000, pud=0000000000000000 [ 466.375875] Internal error: Oops: 0000000096000005 [#1] PREEMPT SMP [ 466.382163] Modules linked in: rfcomm snd_seq_dummy snd_hrtimer snd_seq snd_seq_device algif_hash algif_skcipher af_alg bnep binfmt_misc vc4 snd_soc_hdmi_codec drm_display_helper cec brcmfmac_wcc spidev rpivid_hevc(C) drm_client_lib brcmfmac hci_uart drm_dma_helper pisp_be btbcm brcmutil snd_soc_core aes_ce_blk v4l2_mem2mem bluetooth aes_ce_cipher snd_compress videobuf2_dma_contig ghash_ce cfg80211 gf128mul snd_pcm_dmaengine videobuf2_memops ecdh_generic sha2_ce ecc videobuf2_v4l2 snd_pcm v3d sha256_arm64 rfkill videodev snd_timer sha1_ce libaes gpu_sched snd videobuf2_common sha1_generic drm_shmem_helper mc rp1_pio drm_kms_helper raspberrypi_hwmon spi_bcm2835 gpio_keys i2c_brcmstb rp1 raspberrypi_gpiomem rp1_mailbox rp1_adc nvmem_rmem uio_pdrv_genirq uio i2c_dev drm ledtrig_pattern drm_panel_orientation_quirks backlight fuse dm_mod ip_tables x_tables ipv6 [ 466.458429] CPU: 0 UID: 1000 PID: 2008 Comm: chromium Tainted: G C 6.13.0-v8+ #18 [ 466.467336] Tainted: [C]=CRAP [ 466.470306] Hardware name: Raspberry Pi 5 Model B Rev 1.0 (DT) [ 466.476157] pstate: 404000c9 (nZcv daIF +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 466.483143] pc : v3d_irq+0x118/0x2e0 [v3d] [ 466.487258] lr : __handle_irq_event_percpu+0x60/0x228 [ 466.492327] sp : ffffffc080003ea0 [ 466.495646] x29: ffffffc080003ea0 x28: ffffff80c0c94200 x27: 0000000000000000 [ 466.502807] x26: ffffffd08dd81d7b x25: ffffff80c0c94200 x24: ffffff8003bdc200 [ 466.509969] x23: 0000000000000001 x22: 00000000000000a7 x21: 0000000000000000 [ 466.517130] x20: ffffff8041bb0000 x19: 0000000000000001 x18: 0000000000000000 [ 466.524291] x17: ffffffafadfb0000 x16: ffffffc080000000 x15: 0000000000000000 [ 466.531452] x14: 0000000000000000 x13: 0000000000000000 x12: 0000000000000000 [ 466.538613] x11: 0000000000000000 x10: 0000000000000000 x9 : ffffffd08c527eb0 [ 466.545777] x8 : 0000000000000000 x7 : 0000000000000000 x6 : 0000000000000000 [ 466.552941] x5 : ffffffd08c4100d0 x4 : ffffffafadfb0000 x3 : ffffffc080003f70 ---truncated---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: USB: serial: quatech2: arreglo de null-ptr-deref en qt2_process_read_urb() Este parche soluciona un null-ptr-deref en qt2_process_read_urb() debido a una comprobación de los límites incorrecta en lo siguiente: if (newport > serial->num_ports) { dev_err(&port->dev, "%s - port change to invalid port: %i\n", __func__, newport); break; } La condición no tiene en cuenta el rango válido del búfer serial->port, que es de 0 a serial->num_ports - 1. Cuando newport es igual a serial->num_ports, la asignación de "port" en el siguiente código está fuera de los límites y es NULL: serial_priv->current_port = newport; port = serial->port[serial_priv->current_port]; La solución verifica si newport es mayor o igual que serial->num_ports, lo que indica que está fuera de los límites.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: storvsc: Limite la velocidad de los registros de advertencia para evitar la denegación de servicio de la máquina virtual. Si hay un error persistente en el hipervisor, la advertencia de SCSI por E/S fallida puede inundar el registro del kernel y maximizar la utilización de la CPU, lo que impide la resolución de problemas desde el lado de la máquina virtual. Limite la velocidad de la advertencia para que no realice un ataque de denegación de servicio (DoS) a la máquina virtual.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: sched: fix ets qdisc OOB Indexing Haowei Yan descubrió que ets_class_from_arg() puede indexar una clase fuera de los límites en ets_class_from_arg() cuando se le pasa un clid de 0. El desbordamiento puede provocar una escalada de privilegios locales. [ 18.852298] ------------[ cut here ]------------ [ 18.853271] UBSAN: array-index-out-of-bounds in net/sched/sch_ets.c:93:20 [ 18.853743] index 18446744073709551615 is out of range for type 'ets_class [16]' [ 18.854254] CPU: 0 UID: 0 PID: 1275 Comm: poc Not tainted 6.12.6-dirty #17 [ 18.854821] Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.15.0-1 04/01/2014 [ 18.856532] Call Trace: [ 18.857441] [ 18.858227] dump_stack_lvl+0xc2/0xf0 [ 18.859607] dump_stack+0x10/0x20 [ 18.860908] __ubsan_handle_out_of_bounds+0xa7/0xf0 [ 18.864022] ets_class_change+0x3d6/0x3f0 [ 18.864322] tc_ctl_tclass+0x251/0x910 [ 18.864587] ? lock_acquire+0x5e/0x140 [ 18.865113] ? __mutex_lock+0x9c/0xe70 [ 18.866009] ? __mutex_lock+0xa34/0xe70 [ 18.866401] rtnetlink_rcv_msg+0x170/0x6f0 [ 18.866806] ? __lock_acquire+0x578/0xc10 [ 18.867184] ? __pfx_rtnetlink_rcv_msg+0x10/0x10 [ 18.867503] netlink_rcv_skb+0x59/0x110 [ 18.867776] rtnetlink_rcv+0x15/0x30 [ 18.868159] netlink_unicast+0x1c3/0x2b0 [ 18.868440] netlink_sendmsg+0x239/0x4b0 [ 18.868721] ____sys_sendmsg+0x3e2/0x410 [ 18.869012] ___sys_sendmsg+0x88/0xe0 [ 18.869276] ? rseq_ip_fixup+0x198/0x260 [ 18.869563] ? rseq_update_cpu_node_id+0x10a/0x190 [ 18.869900] ? trace_hardirqs_off+0x5a/0xd0 [ 18.870196] ? syscall_exit_to_user_mode+0xcc/0x220 [ 18.870547] ? do_syscall_64+0x93/0x150 [ 18.870821] ? __memcg_slab_free_hook+0x69/0x290 [ 18.871157] __sys_sendmsg+0x69/0xd0 [ 18.871416] __x64_sys_sendmsg+0x1d/0x30 [ 18.871699] x64_sys_call+0x9e2/0x2670 [ 18.871979] do_syscall_64+0x87/0x150 [ 18.873280] ? do_syscall_64+0x93/0x150 [ 18.874742] ? lock_release+0x7b/0x160 [ 18.876157] ? do_user_addr_fault+0x5ce/0x8f0 [ 18.877833] ? irqentry_exit_to_user_mode+0xc2/0x210 [ 18.879608] ? irqentry_exit+0x77/0xb0 [ 18.879808] ? clear_bhb_loop+0x15/0x70 [ 18.880023] ? clear_bhb_loop+0x15/0x70 [ 18.880223] ? clear_bhb_loop+0x15/0x70 [ 18.880426] entry_SYSCALL_64_after_hwframe+0x76/0x7e [ 18.880683] RIP: 0033:0x44a957 [ 18.880851] Code: ff ff e8 fc 00 00 00 66 2e 0f 1f 84 00 00 00 00 00 66 90 f3 0f 1e fa 64 8b 04 25 18 00 00 00 85 c0 75 10 b8 2e 00 00 00 0f 05 <48> 3d 00 f0 ff ff 77 51 c3 48 83 ec 28 89 54 24 1c 48 8974 24 10 [ 18.881766] RSP: 002b:00007ffcdd00fad8 EFLAGS: 00000246 ORIG_RAX: 000000000000002e [ 18.882149] RAX: ffffffffffffffda RBX: 00007ffcdd010db8 RCX: 000000000044a957 [ 18.882507] RDX: 0000000000000000 RSI: 00007ffcdd00fb70 RDI: 0000000000000003 [ 18.885037] RBP: 00007ffcdd010bc0 R08: 000000000703c770 R09: 000000000703c7c0 [ 18.887203] R10: 0000000000000080 R11: 0000000000000246 R12: 0000000000000001 [ 18.888026] R13: 00007ffcdd010da8 R14: 00000000004ca7d0 R15: 0000000000000001 [ 18.888395] [ 18.888610] ---[ end trace ]---