Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: arm64: dts: qcom: sdm845-db845c: marcar la región de memoria de inicio continua como reservada Agregar una región de memoria reservada para la memoria framebuffer (la región de memoria de inicio configurada por el gestor de arranque). Soluciona un problema de pánico en el kernel (arm-smmu: fallo de contexto no controlado en esta región de memoria en particular) informado en DB845c que ejecuta v5.10.y.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: x86/reboot: VMCLEAR VMCS activos antes del reinicio de emergencia VMCLEAR VMCS activos antes de cualquier reinicio de emergencia, no solo si el kernel puede realizar una ejecución kexec en un nuevo kernel después de una falla. Según el SDM de Intel, la arquitectura VMX no requiere que la CPU vacíe la caché VMCS en INIT. Si un reinicio de emergencia no RESTABLECE las CPU, los VMCS almacenados en caché podrían, en teoría, conservarse y solo volver a escribirse en la memoria después de que se inicie el nuevo kernel, es decir, podrían dañar efectivamente la memoria después del reinicio. De manera oportunista, elimine la configuración del puntero global en NULL para que checkpatch esté contento.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ceph: elimina mensajes de MDS al desmontar. Al desmontar, todos los buffers sucios se vaciarán y, una vez finalizada la última solicitud de osd, se liberará la última referencia de i_count. Luego, eliminará la tapa sucia/se ajustará a los MDS, y el desmontaje no esperará los posibles ataques, lo que retendrá los inodos al actualizar los metadatos localmente, pero esto ya no tiene sentido. Esto hará que evict_inodes() omita estos inodos. Si el cifrado está habilitado, el kernel genera una advertencia al eliminar las claves de cifrado cuando los inodos omitidos aún contienen el llavero: ADVERTENCIA: CPU: 4 PID: 168846 en fs/crypto/keyring.c:242 fscrypt_destroy_keyring+0x7e/0xd0 CPU: 4 PID : 168846 Comm: desmontaje Contaminado: GS 6.1.0-rc5-ceph-g72ead199864c #1 Nombre del hardware: Supermicro SYS-5018R-WR/X10SRW-F, BIOS 2.0 17/12/2015 RIP: 0010:fscrypt_destroy_keyring+0x7e/0xd0 RSP : 0018:ffffc9000b277e28 EFLAGS: 00010202 RAX: 0000000000000002 RBX: ffff88810d52ac00 RCX: ffff88810b56aa00 RDX: 0000000080000000 RSI: ffffffff822f 3a09 RDI: ffff888108f59000 RBP: ffff8881d394fb88 R08: 0000000000000028 R09: 00000000000000000 R10: 00000000000000001 R11: 11ff4fe6834fcd91 R12: ffff8881d394fc40 R13: ffff888108f59000 R14: ffff8881d394f800 R15 : 0000000000000000 FS: 00007fd83f6f1080(0000) GS:ffff88885fd00000(0000) knlGS:00000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 000000008005 0033 CR2: 00007f918d417000 CR3: 000000017f89a005 CR4: 00000000003706e0 DR0: 00000000000000000 DR1: 00000000000000000 DR2: 00000000000000000 DR 3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: generic_shutdown_super+0x47/0x120 kill_anon_super+0x14/0x30 ceph_kill_sb+0x36/0x90 [ceph] deactivate_locked_super+0x29/0x60 cleanup_mnt+0 xb8/0x140 task_work_run+0x67/0xb0 exit_to_user_mode_prepare+0x23d/0x240 syscall_exit_to_user_mode+0x25/0x60 do_syscall_64+0x40/0x80 Entry_SYSCALL_64_after_hwframe+0x63/0xcd RIP: 0033:0x7fd83dc39e9b Más tarde, el kernel fallará cuando iput() los inodos y desreferencia el "sb->s_master_keys", que ha sido liberado por generic_shutdown_super() .

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: powerpc/47x: Se corrigió la falla de devolución de la llamada al sistema 47x Eddie informó que los kernels más nuevos fallaban durante el arranque en su sistema 476 FSP2: el kernel intentó ejecutar la página del usuario (b7ee2000): ¿intento de explotación? (uid: 0) ERROR: No se puede manejar la recuperación de instrucciones del kernel Dirección de instrucción errónea: 0xb7ee2000 Ups: Acceso al kernel del área defectuosa, firma: 11 [#1] BE PAGE_SIZE=4K FSP-2 Módulos vinculados en: CPU: 0 PID: 61 Comm: mount No contaminado 6.1.55-d23900f.ppcnf-fsp2 #1 Nombre de hardware: ibm,fsp2 476fpe 0x7ff520c0 FSP-2 NIP: b7ee2000 LR: 8c008000 CTR: 00000000 REGS: bffebd83 TRAP: 0400 No contaminado (6.1. 55-d23900f .ppcnf-fs p2) MSR: 00000030 CR: 00001000 XER: 20000000 GPR00: c00110ac bffebe63 bffebe7e bffebe88 8c008000 00001000 00000d12 b7ee2000 GPR08: 00000 033 00000000 00000000 c139df10 48224824 1016c314 10160000 00000000 GPR16: 10160000 10160000 00000008 00000000 10160000 00000000 10160000 1017f5b0 GPR24: 1017fa50 1017f4f0 1017fa50 1017f740 1017f630 00000000 00000000 1017f4f0 NIP [b7ee2000] 0xb7ee2000 LR [8c008000] 0x8c008000 Seguimiento de llamadas: volcado de instrucciones : XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX XXXXXXXX ---[ fin de seguimiento 00000000000000000 ] --- El problema está en ret_from_syscall donde se realiza la verificación de icache_44x_need_flush. Cuando se necesita la descarga, el código salta fuera de línea para realizar la descarga y luego intenta saltar hacia atrás para continuar con el retorno de la llamada al sistema. Sin embargo, la bifurcación de regreso a la etiqueta 1b no regresa a la ubicación correcta, sino que se bifurca justo antes de regresar al espacio de usuario, lo que provoca que el rfi utilice valores de registro falsos. La falla fue introducida por el commit 6f76a01173cc ("powerpc/syscall: implementar lógica de entrada/salida de llamadas al sistema en C para PPC32") que sin darse cuenta eliminó la etiqueta "1" y la reutilizó en otro lugar. Solucionelo agregando etiquetas locales con nombre en las ubicaciones correctas. Tenga en cuenta que la etiqueta de devolución debe estar fuera de ifdef para que CONFIG_PPC_47x=n se compile.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: pm80xx: evite filtrar etiquetas al procesar el comando OPC_INB_SET_CONTROLLER_CONFIG Las etiquetas asignadas para el comando OPC_INB_SET_CONTROLLER_CONFIG deben liberarse cuando recibimos la respuesta.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ring-buffer: no intente leer más allá del "commit" Al iterar sobre el búfer de anillo mientras el búfer de anillo está activo, el escritor puede dañar al lector. Existen barreras para ayudar a detectar esto y manejarlo, pero ese código omitió el caso en el que el último evento estaba al final de la página y solo le quedan 4 bytes. Las comprobaciones para detectar la corrupción por parte del escritor en las lecturas deben ver la duración del evento. Si la longitud de los primeros 4 bytes es cero, entonces la longitud se almacena en los segundos 4 bytes. Pero si el escritor está en el proceso de actualizar ese código, hay una pequeña ventana donde la longitud de los primeros 4 bytes podría ser cero aunque la longitud sea solo de 4 bytes. Eso hará que rb_event_length() lea los siguientes 4 bytes que podrían estar fuera de la página asignada. Para protegerse contra esto, falle inmediatamente si el siguiente puntero de evento está a menos de 8 bytes del final de el commit (último byte de datos), ya que todos los eventos deben tener un mínimo de 8 bytes de todos modos.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: phy: lynx-28g: serializa llamadas concurrentes phy_set_mode_ext() a registros compartidos La configuración del convertidor de protocolo registra PCC8, PCCC, PCCD (implementado por el controlador), así como otros, control convertidores de protocolo de múltiples carriles (cada uno representado como una estructura física diferente). Por lo tanto, si hay llamadas simultáneas a phy_set_mode_ext() a carriles que comparten el mismo registro PCC (ya sea para el protocolo "antiguo" o para el "nuevo"), es posible que se dañen los valores programados en el hardware, porque lynx_28g_rmw() no tiene cierre. Agregue un spinlock en la estructura lynx_28g_priv compartida por todos los carriles y tome el spinlock global de la implementación phy_ops :: set_mode(). No hay otros llamantes que modifiquen los registros PCC.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: LoongArch: establece todos los bloques de memoria reservados en el nodo n.º 0 durante la inicialización. Después de el commit 61167ad5fecdea ("mm: pasa nid a reserve_bootmem_region()"), entra en pánico si DEFERRED_STRUCT_PAGE_INIT está habilitado: [0.000000 ] CPU 0 No se puede manejar la solicitud de paginación del kernel en la dirección virtual 0000000000002b82, era == 90000000040e3f28, ra == 90000000040e3f18 [ 0.000000] Ups[#1]: [ 0.000000] CPU: 0 PID: 0 Comm: swapper No contaminado 6 .5.0+ #733 [ 0.000000] pc 90000000040e3f28 ra 90000000040e3f18 tp 90000000046f4000 sp 90000000046f7c90 [ 0.000000] a0 0000000000000001 a1 000 0000000200000 a2 0000000000000040 a3 90000000046f7ca0 [ 0.000000] a4 90000000046f7ca4 a5 00000000000000000 a6 90000000046f7c38 a7 00000 00000000000 [ 0,000000] t0 0000000000000002 t1 9000000004b00ac8 t2 90000000040e3f18 t3 90000000040f0800 [ 0,000000] t4 00000000000f0000 t5 80000000ffffe07e t6 0000000000000003 t7 900000047fff5e20 [ 0.000000] t8 aaaaaaaaaaaaaaab u0 0000000000000018 s9 000 0000000000000 s0 fffffffe000000 [ 0.000000] s1 0000000000000000 s2 0000000000000080 s3 00000000000000040 s4 0000000000000000 [ 0.000 000] s5 0000000000000000 s6 fffffffe000000 s7 900000000470b740 s8 9000000004ad4000 [ 0.000000] ra: 90000000040e3f18 reserve_bootmem_region+0xec/ 0x21c [0.000000] ERA: 90000000040e3f28 reserve_bootmem_region+0xfc/0x21c [0.000000] CRMD: 000000b0 (PLV0 -IE -DA +PG DACF=CC DACM=CC -WE) [ 0.000000] PRMD: 00000000 ( PPLV0 -PIE -PWE) [ 0,000000 ] EUEN: 00000000 (-FPE -SXE -ASXE -BTE) [ 0.000000] ECFG: 00070800 (LIE=11 VS=7) [ 0.000000] ESTAT: 00010800 [PIL] (IS=11 ECode=1 EssubCode=0) [ 0.000000 ] BADV: 0000000000002b82 [ 0.000000] PRID: 0014d000 (Loongson-64bit, Loongson-3A6000) [ 0.000000] Módulos vinculados en: [ 0.000000] Intercambiador de procesos (pid: 0, threadinfo=(____ptrval____), tarea=(____ptrval____ )) [ 0,000000 ] Pila: 0000000000000000 9000000002eb5430 0000003a00000020 90000000045ccd00 [0.000000] 900000000470e000 90000000002c1918 00000000 00000000 9000000004110780 [ 0.000000] 00000000fe6c0000 0000000480000000 9000000004b4e368 9000000004110748 [ 0.000000] 0000000000 000000 900000000421ca84 9000000004620000 9000000004564970 [ 0.000000] 90000000046f7d78 9000000002cc9f70 90000000002c1918 9000000 00470e000 [ 0.000000] 9000000004564970 90000000040bc0e0 90000000046f7d78 00000000000000000 [ 0.000000] 0000000000004000 900000000 45ccd00 0000000000000000 90000000002c1918 [ 0,000000] 90000000002c1900 900000000470b700 9000000004b4df78 9000000004620000 [ 0,000000] 90000000046200a8 90000000046200a8 [ 0.000000] Seguimiento de llamadas: [ 0.000000] [<90000000040e3f28>] reserve_bootmem_region+0xfc/0x21c [ 0.000000] [< 900000000421ca84>] memblock_free_all+0x114/0x350 [ 0.000000] [<9000000004218b2c>] mm_core_init+0x138/0x3cc [ 0.000000] [<9000000004200e38>] start_kernel+0x4 88/0x7a4 [ 0.000000] [<90000000040df0d8>] kernel_entry+0xd8/0xdc [ 0.000000] [0.000000] Código: 02eb21ad 00410f4c 380c31ac <262b818d> 6800b70d 02c1c196 0015001c 57fe4bb1 260002cd El motivo es que memblock_reserve() en memblock_init() estableció la identificación del nodo en MAX_NUMNODES, haciendo NODE_ DATA(nid) una desreferencia NULL en la cadena de llamadas reserve_bootmem_region() -> init_reserved_page(). Después de memblock_init(), esas llamadas tardías de memblock_reserve() operan en subregiones de regiones memblock .memory. Como resultado, estas regiones reservadas se establecerán en el nodo correcto en la primera iteración de memmap_init_reserved_pages(). Por lo tanto, configurar todos los bloques de memoria reservados en el Nodo 0 durante la inicialización puede evitar este pánico.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfc: nci: afirmar que el protocolo solicitado es válido El protocolo se utiliza en una máscara de bits para determinar si el protocolo es compatible. Afirme que el protocolo proporcionado es menor que el máximo definido para que no realice potencialmente un desplazamiento fuera de los límites y proporcione un error más claro para los protocolos no definidos frente a los no compatibles.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: spi: sun6i: corrigió la ejecución entre la finalización de la transferencia DMA RX y el drenaje FIFO RX Anteriormente, la IRQ completa de la transferencia se drenaba inmediatamente a RX FIFO para leer cualquier dato restante en FIFO al búfer RX. Este comportamiento es correcto cuando se trata de SPI en modo de interrupción. Sin embargo, en el modo DMA, la interrupción de transferencia completa aún se activa tan pronto como todos los bytes a transferir se hayan almacenado en el FIFO. En ese momento, el motor DMA todavía debe recoger los datos del FIFO. Por lo tanto, el procedimiento de drenaje y el motor DMA terminan corriendo para leer desde RX FIFO, corrompiendo cualquier lectura de datos. Además, el puntero del búfer RX nunca se ajusta según el progreso de DMA en modo DMA, por lo que llamar al procedimiento de drenaje FIFO de RX en modo DMA es un error. Corrija corrupciones en el modo DMA RX drenando RX FIFO solo en modo de interrupción. Espere también a que se complete RX DMA cuando esté en modo DMA antes de regresar para asegurarse de que todos los datos se hayan copiado en el búfer de memoria suministrado.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: tee: amdtee: corrige la vulnerabilidad de Use After Free en amdtee_close_session Existe una posible condición de ejecución en amdtee_close_session que puede causar el Use After Free en amdtee_open_session. Por ejemplo, si una sesión tiene refcount == 1 y un hilo intenta liberar esta sesión mediante: kref_put(&sess->refcount, destroy_session); el recuento de referencias disminuirá y el siguiente paso sería llamar a destroy_session(). Sin embargo, si en otro hilo, se llama a amdtee_open_session() antes de que destroy_session() haya completado la ejecución, alloc_session() puede devolver 'sess' que se liberará más tarde en destroy_session(), lo que conducirá a Use After Free en amdtee_open_session. Para solucionar este problema, trate la disminución de sess->refcount y la eliminación de 'sess' de la lista de sesiones en destroy_session() como una sección crítica, para que se ejecute de forma atómica.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: x86/alternatives: deshabilite KASAN en apply_alternatives() Fei ha informado que KASAN se activa durante apply_alternatives() en una máquina de paginación de 5 niveles: ERROR: KASAN: fuera de los límites en rcu_is_watching() Lectura de tamaño 4 en la dirección ff110003ee6419a0 mediante task swapper/0/0 ... __asan_load4() rcu_is_watching() trace_hardirqs_on() text_poke_early() apply_alternatives() ... En máquinas con paginación de 5 niveles, cpu_feature_enabled(X86_FEATURE_LA57) se parchea. Incluye código KASAN, donde KASAN_SHADOW_START depende de __VIRTUAL_MASK_SHIFT, que se define con cpu_feature_enabled(). KASAN se confunde cuando apply_alternatives() parchea a los usuarios de KASAN_SHADOW_START. Un parche de prueba que hace que KASAN_SHADOW_START sea estático, reemplazando __VIRTUAL_MASK_SHIFT con 56, soluciona el problema. Solucionelo de verdad deshabilitando KASAN mientras el kernel parchea alternativas. [mingo: actualizó el registro de cambios]