Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: borrar acl_access/acl_default después de liberarlos Si la obtención de acl_default falla, acl_access y acl_default se liberarán simultáneamente. Sin embargo, acl_access aún conservará un puntero que apunta al posix_acl liberado, lo que activará una ADVERTENCIA en nfs3svc_release_getacl como esta: ------------[ cortar aquí ]------------ refcount_t: desbordamiento insuficiente; use after free. ADVERTENCIA: CPU: 26 PID: 3199 at lib/refcount.c:28 refcount_warn_saturate+0xb5/0x170 Modules linked in: CPU: 26 UID: 0 PID: 3199 Comm: nfsd Not tainted 6.12.0-rc6-00079-g04ae226af01f-dirty #8 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.1-2.fc37 04/01/2014 RIP: 0010:refcount_warn_saturate+0xb5/0x170 Code: cc cc 0f b6 1d b3 20 a5 03 80 fb 01 0f 87 65 48 d8 00 83 e3 01 75 e4 48 c7 c7 c0 3b 9b 85 c6 05 97 20 a5 03 01 e8 fb 3e 30 ff <0f> 0b eb cd 0f b6 1d 8a3 RSP: 0018:ffffc90008637cd8 EFLAGS: 00010282 RAX: 0000000000000000 RBX: 0000000000000000 RCX: ffffffff83904fde RDX: dffffc0000000000 RSI: 0000000000000008 RDI: ffff88871ed36380 RBP: ffff888158beeb40 R08: 0000000000000001 R09: fffff520010c6f56 R10: ffffc90008637ab7 R11: 0000000000000001 R12: 0000000000000001 R13: ffff888140e77400 R14: ffff888140e77408 R15: ffffffff858b42c0 FS: 0000000000000000(0000) GS:ffff88871ed00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000562384d32158 CR3: 000000055cc6a000 CR4: 00000000000006f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: ? refcount_warn_saturate+0xb5/0x170 ? __warn+0xa5/0x140 ? refcount_warn_saturate+0xb5/0x170 ? report_bug+0x1b1/0x1e0 ? handle_bug+0x53/0xa0 ? exc_invalid_op+0x17/0x40 ? asm_exc_invalid_op+0x1a/0x20 ? tick_nohz_tick_stopped+0x1e/0x40 ? refcount_warn_saturate+0xb5/0x170 ? refcount_warn_saturate+0xb5/0x170 nfs3svc_release_getacl+0xc9/0xe0 svc_process_common+0x5db/0xb60 ? __pfx_svc_process_common+0x10/0x10 ? __rcu_read_unlock+0x69/0xa0 ? __pfx_nfsd_dispatch+0x10/0x10 ? svc_xprt_received+0xa1/0x120 ? xdr_init_decode+0x11d/0x190 svc_process+0x2a7/0x330 svc_handle_xprt+0x69d/0x940 svc_recv+0x180/0x2d0 nfsd+0x168/0x200 ? __pfx_nfsd+0x10/0x10 kthread+0x1a2/0x1e0 ? kthread+0xf4/0x1e0 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x34/0x60 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 Kernel panic - not syncing: kernel: panic_on_warn set ... Borre acl_access/acl_default después de llamar a posix_acl_release para evitar que se active UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: se bloquea cuando no se puede cargar el firmware en psp_init_cap_microcode() En la función psp_init_cap_microcode(), debería bloquearse cuando no se puede cargar el firmware; de lo contrario, puede provocar un acceso no válido a la memoria.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gpiolib: Se corrige el fallo en caso de error en gpiochip_get_ngpios(). Gpiochip_get_ngpios() utiliza macros chip_*() para imprimir mensajes. Sin embargo, estas macros dependen de que gpiodev se inicialice y configure, lo que no sucede cuando se llama a través de bgpio_init(). En tal caso, la impresión de mensajes se bloqueará en caso de desreferencia de puntero NULL. Reemplace las macros chip_*() por las respectivas dev_*() para evitar dicho bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: workqueue: colocar el pwq después de separar el rescatador del grupo el commit 68f83057b913("workqueue: Reap workers via kthread_stop() and remove detach_completion") agrega código para recolectar los trabajadores normales, pero por error no gestiona el rescatador y también elimina el código que espera al rescatador en put_unbound_pool(), lo que causó un error de use after free informado por Cheung Wall. Para evitar el error de use after free, la referencia del grupo debe mantenerse hasta que se complete la separación. Por lo tanto, mueva el código que coloca el pwq después de separar el rescatador del grupo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ethernet: ti: am65-cpsw: corrige la fuga de memoria en ciertos casos de XDP Si el programa XDP no da como resultado XDP_PASS, filtramos la memoria asignada por am65_cpsw_build_skb(). No tiene sentido asignar memoria SKB antes de ejecutar el programa XDP, ya que estaríamos desperdiciando ciclos de CPU para casos distintos a XDP_PASS. Mueva la asignación de SKB después de evaluar el resultado del programa XDP. Esto corrige la fuga de memoria. Se observa una mejora en el rendimiento de la prueba XDP_DROP. Prueba XDP_DROP: Antes: 460256 rx/s 0 err/s Después: 784130 rx/s 0 err/s

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: LoongArch: csum: Fix OoB access in IP checksum code for negative lengths (LoongArch: csum: corregir el acceso OoB en el código de suma de comprobación de IP para longitudes negativas). el commit 69e3a6aa6be2 ("LoongArch: añadir optimización de suma de comprobación para sistemas de 64 bits") provocaría un desplazamiento indefinido y una lectura fuera de los límites. el commit 8bd795fedb84 ("arm64: csum: corregir el acceso OoB en el código de suma de comprobación de IP para longitudes negativas") corrige el mismo problema en ARM64.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: orangefs: corregir un oob en orangefs_debug_write Recibí un informe de syzbot: slab-out-of-bounds Lectura en orangefs_debug_write... varias personas sugirieron soluciones, probé la sugerencia de Al Viro e hice este parche.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: arm64: cacheinfo: evitar escritura fuera de los límites en la matriz cacheinfo El bucle que detecta/completa la información de caché ya tiene una comprobación de los límites en el tamaño de la matriz, pero no tiene en cuenta los niveles de caché con caché de datos/instrucciones independiente. Solucione esto incrementando el índice de cualquier hoja completada (en lugar de cualquier nivel completo).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vxlan: comprobar el valor de retorno de vxlan_vnigroup_init() vxlan_init() debe comprobar el éxito de vxlan_vnigroup_init() de lo contrario se produce un bloqueo más tarde, detectado por syzbot. Oops: fallo de protección general, probablemente para dirección no canónica 0xdffffc000000002c: 0000 [#1] PREEMPT SMP KASAN NOPTI KASAN: null-ptr-deref en rango [0x000000000000160-0x0000000000000167] CPU: 0 UID: 0 PID: 7313 Comm: syz-executor147 No contaminado 6.14.0-rc1-syzkaller-00276-g69b54314c975 #0 Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 RIP: 0010:vxlan_vnigroup_uninit+0x89/0x500 drivers/net/vxlan/vxlan_vnifilter.c:912 Código: 00 48 8b 44 24 08 4c 8b b0 98 41 00 00 49 8d 86 60 01 00 00 48 89 c2 48 89 44 24 10 48 b8 00 00 00 00 00 fc ff df 48 c1 ea 03 <80> 3c 02 00 0f 85 4d 04 00 00 49 8b 86 60 01 00 00 48 ba 00 00 00 RSP: 0018:ffffc9000cc1eea8 EFLAGS: 00010202 RAX: dffffc0000000000 RBX: 0000000000000001 RCX: ffffffff8672effb RDX: 000000000000002c RSI: ffffffff8672ecb9 RDI: ffff8880461b4f18 RBP: ffff8880461b4ef4 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000000001 R11: 0000000000000000 R12: 0000000000020000 R13: ffff8880461b0d80 R14: 0000000000000000 R15: dffffc0000000000 FS: 00007fecfa95d6c0(0000) GS:ffff88806a600000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fecfa95cfb8 CR3: 000000004472c000 CR4: 0000000000352ef0 DR0: 00000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Seguimiento de llamadas: vxlan_uninit+0x1ab/0x200 drivers/net/vxlan/vxlan_core.c:2942 unregister_netdevice_many_notify+0x12d6/0x1f30 net/core/dev.c:11824 unregister_netdevice_many net/core/dev.c:11866 [en línea] unregister_netdevice_queue+0x307/0x3f0 net/core/dev.c:11736 register_netdevice+0x1829/0x1eb0 net/core/dev.c:10901 __vxlan_dev_create+0x7c6/0xa30 drivers/net/vxlan/vxlan_core.c:3981 vxlan_newlink+0xd1/0x130 drivers/net/vxlan/vxlan_core.c:4407 rtnl_newlink_create net/core/rtnetlink.c:3795 [en línea] __rtnl_newlink net/core/rtnetlink.c:3906 [en línea]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vrf: usar protección RCU en l3mdev_l3_out() l3mdev_l3_out() se puede llamar sin que se retenga RCU: raw_sendmsg() ip_push_pending_frames() ip_send_skb() ip_local_out() __ip_local_out() l3mdev_ip_out() Agregue el par rcu_read_lock() / rcu_read_unlock() para evitar un posible UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: equipo: mejor validación de TEAM_OPTION_TYPE_STRING syzbot informó lo siguiente: [1] Asegúrese de que los datos proporcionados por el usuario contengan un byte nulo. [1] ERROR: KMSAN: valor no inicializado en string_nocheck lib/vsprintf.c:633 [en línea] ERROR: KMSAN: valor no inicializado en string+0x3ec/0x5f0 lib/vsprintf.c:714 string_nocheck lib/vsprintf.c:633 [inline] string+0x3ec/0x5f0 lib/vsprintf.c:714 vsnprintf+0xa5d/0x1960 lib/vsprintf.c:2843 __request_module+0x252/0x9f0 kernel/module/kmod.c:149 team_mode_get drivers/net/team/team_core.c:480 [inline] team_change_mode drivers/net/team/team_core.c:607 [inline] team_mode_option_set+0x437/0x970 drivers/net/team/team_core.c:1401 team_option_set drivers/net/team/team_core.c:375 [inline] team_nl_options_set_doit+0x1339/0x1f90 drivers/net/team/team_core.c:2662 genl_family_rcv_msg_doit net/netlink/genetlink.c:1115 [inline] genl_family_rcv_msg net/netlink/genetlink.c:1195 [inline] genl_rcv_msg+0x1214/0x12c0 net/netlink/genetlink.c:1210 netlink_rcv_skb+0x375/0x650 net/netlink/af_netlink.c:2543 genl_rcv+0x40/0x60 net/netlink/genetlink.c:1219 netlink_unicast_kernel net/netlink/af_netlink.c:1322 [inline] netlink_unicast+0xf52/0x1260 net/netlink/af_netlink.c:1348 netlink_sendmsg+0x10da/0x11e0 net/netlink/af_netlink.c:1892 sock_sendmsg_nosec net/socket.c:718 [inline] __sock_sendmsg+0x30f/0x380 net/socket.c:733 ____sys_sendmsg+0x877/0xb60 net/socket.c:2573 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2627 __sys_sendmsg net/socket.c:2659 [inline] __do_sys_sendmsg net/socket.c:2664 [inline] __se_sys_sendmsg net/socket.c:2662 [inline] __x64_sys_sendmsg+0x212/0x3c0 net/socket.c:2662 x64_sys_call+0x2ed6/0x3c30 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ring-buffer: validar la matriz de subbuf de metadatos persistentes Los metadatos de un búfer de anillo asignado contienen una matriz de índices de todos los subbúferes. La primera entrada es la página del lector y el resto de las entradas establecen el orden de los subbúferes en cómo se creará la lista de enlaces del búfer de anillo. El validador actualmente se asegura de que todas las entradas estén dentro del rango de 0 y nr_subbufs. Pero no verifica si hay duplicados. Mientras trabajaba en el búfer de anillo, corrompí esta matriz, donde agregué duplicados. El validador no lo detectó y creó la lista de enlaces del búfer de anillo encima. Afortunadamente, la corrupción fue solo que la página del lector también estaba en la ruta del escritor y solo presentó datos corruptos pero no bloqueó el kernel. Pero si había duplicados en el lado del escritor, entonces podría corromper la lista de enlaces del búfer de anillo y causar un bloqueo. Cree una matriz de máscara de bits con el tamaño del número de subbúferes. Luego, bórrelo. Al recorrer la matriz subbuf para verificar si las entradas están dentro del rango, verifique si su bit ya está configurado en subbuf_mask. Si es así, entonces hay duplicados y falla la validación. Si no es así, configure el bit correspondiente y continúe.