Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Entrada: synaptics - arregla el fallo al habilitar el puerto de paso Al habilitar un puerto de paso, puede aparecer una interrupción antes de que el controlador psmouse se vincule al puerto de paso. Sin embargo, el subcontrolador synaptics intenta acceder a la instancia psmouse presuntamente asociada con el puerto de paso para averiguar si solo se necesita reenviar 1 byte de respuesta o el paquete de protocolo completo al puerto de paso y puede bloquearse si la instancia psmouse aún no se ha adjuntado al puerto. Arregla el bloqueo introduciendo los métodos open() y close() para el puerto y comprueba si el puerto está abierto antes de intentar acceder a la instancia psmouse. Debido a que psmouse llama a serio_open() solo después de adjuntar la instancia psmouse a la instancia del puerto serio, esto evita el posible bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: brcmfmac: se corrige la desreferencia de puntero NULL en brcmf_txfinalize() Al eliminar el dispositivo o descargar el módulo del kernel, se produce una posible desreferencia de puntero NULL. La siguiente secuencia elimina la interfaz: brcmf_detach() brcmf_remove_interface() brcmf_del_if() Dentro de la función brcmf_del_if(), drvr->if2bss[ifidx] se actualiza a BRCMF_BSSIDX_INVALID (-1) si bsscfgidx coincide. Después de llamar a brcmf_remove_interface(), se llama a la función brcmf_proto_detach() proporcionando la siguiente secuencia: brcmf_detach() brcmf_proto_detach() brcmf_proto_msgbuf_detach() brcmf_flowring_detach() brcmf_msgbuf_delete_flowring() brcmf_msgbuf_remove_flowring() brcmf_flowring_delete() brcmf_get_ifp() brcmf_txfinalize() Dado que brcmf_get_ip() puede devolver NULL y, de hecho, lo hará, en este caso la llamada a brcmf_txfinalize() dará como resultado una desreferencia de puntero NULL dentro de brcmf_txfinalize() al intentar actualizar ifp->ndev->stats.tx_errors. Esto solo sucederá si un flowring todavía tiene un skb. Aunque la desreferencia del puntero NULL solo se ha visto al intentar actualizar la estadística tx, todos los demás usos del puntero ifp también se han protegido con un retorno anticipado si ifp es NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: blk-cgroup: Se corrige la pérdida de recuento de referencias del subsistema de la clase @block_class blkcg_fill_root_iostats() itera sobre los dispositivos de @block_class mediante class_dev_iter_(init|next()), pero no finaliza la iteración con class_dev_iter_exit(), por lo que provoca la pérdida de recuento de referencias del subsistema de la clase. Se soluciona finalizando la iteración con class_dev_iter_exit().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: corregir use-after-free al intentar unirse a una transacción abortada Cuando intentamos unirnos a la transacción actual y si se aborta, leemos su campo 'abortado' después de desbloquear fs_info->trans_lock y sin mantener ningún recuento de referencia adicional en él. Esto significa que una tarea concurrente que está abortando la transacción puede liberar la transacción antes de que leamos su campo 'abortado', lo que lleva a un use-after-free. Arregle esto leyendo el campo 'abortado' mientras mantiene fs_info->trans_lock ya que cualquier tarea de liberación primero debe adquirir ese bloqueo y establecer fs_info->running_transaction en NULL antes de liberar la transacción. Esto fue informado por syzbot y Dmitry con los siguientes seguimientos de pila de KASAN: ===================================================================== ERROR: KASAN: slab-use-after-free in join_transaction+0xd9b/0xda0 fs/btrfs/transaction.c:278 Read of size 4 at addr ffff888011839024 by task kworker/u4:9/1128 CPU: 0 UID: 0 PID: 1128 Comm: kworker/u4:9 Not tainted 6.13.0-rc7-syzkaller-00019-gc45323b7560e #0 Hardware name: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 Workqueue: events_unbound btrfs_async_reclaim_data_space Call Trace: __dump_stack lib/dump_stack.c:94 [inline] dump_stack_lvl+0x241/0x360 lib/dump_stack.c:120 print_address_description mm/kasan/report.c:378 [inline] print_report+0x169/0x550 mm/kasan/report.c:489 kasan_report+0x143/0x180 mm/kasan/report.c:602 join_transaction+0xd9b/0xda0 fs/btrfs/transaction.c:278 start_transaction+0xaf8/0x1670 fs/btrfs/transaction.c:697 flush_space+0x448/0xcf0 fs/btrfs/space-info.c:803 btrfs_async_reclaim_data_space+0x159/0x510 fs/btrfs/space-info.c:1321 process_one_work kernel/workqueue.c:3236 [inline] process_scheduled_works+0xa66/0x1840 kernel/workqueue.c:3317 worker_thread+0x870/0xd30 kernel/workqueue.c:3398 kthread+0x2f0/0x390 kernel/kthread.c:389 ret_from_fork+0x4b/0x80 arch/x86/kernel/process.c:147 ret_from_fork_asm+0x1a/0x30 arch/x86/entry/entry_64.S:244 Allocated by task 5315: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x3f/0x80 mm/kasan/common.c:68 poison_kmalloc_redzone mm/kasan/common.c:377 [inline] __kasan_kmalloc+0x98/0xb0 mm/kasan/common.c:394 kasan_kmalloc include/linux/kasan.h:260 [inline] __kmalloc_cache_noprof+0x243/0x390 mm/slub.c:4329 kmalloc_noprof include/linux/slab.h:901 [inline] join_transaction+0x144/0xda0 fs/btrfs/transaction.c:308 start_transaction+0xaf8/0x1670 fs/btrfs/transaction.c:697 btrfs_create_common+0x1b2/0x2e0 fs/btrfs/inode.c:6572 lookup_open fs/namei.c:3649 [inline] open_last_lookups fs/namei.c:3748 [inline] path_openat+0x1c03/0x3590 fs/namei.c:3984 do_filp_open+0x27f/0x4e0 fs/namei.c:4014 do_sys_openat2+0x13e/0x1d0 fs/open.c:1402 do_sys_open fs/open.c:1417 [inline] __do_sys_creat fs/open.c:1495 [inline] __se_sys_creat fs/open.c:1489 [inline] __x64_sys_creat+0x123/0x170 fs/open.c:1489 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xf3/0x230 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f Freed by task 5336: kasan_save_stack mm/kasan/common.c:47 [inline] kasan_save_track+0x3f/0x80 mm/kasan/common.c:68 kasan_save_free_info+0x40/0x50 mm/kasan/generic.c:582 poison_slab_object mm/kasan/common.c:247 [inline] __kasan_slab_free+0x59/0x70 mm/kasan/common.c:264 kasan_slab_free include/linux/kasan.h:233 [inline] slab_free_hook mm/slub.c:2353 [inline] slab_free mm/slub.c:4613 [inline] kfree+0x196/0x430 mm/slub.c:4761 cleanup_transaction fs/btrfs/transaction.c:2063 [inline] btrfs_commit_transaction+0x2c97/0x3720 fs/btrfs/transaction.c:2598 insert_balance_item+0x1284/0x20b0 fs/btrfs/volumes.c:3757 btrfs_balance+0x992/ ---truncated---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ceph: se corrige una pérdida de memoria en ceph_mds_auth_match() Ahora liberamos la asignación de subcadena de la ruta de destino temporal en cada rama posible, en lugar de omitir la rama predeterminada. En algunos casos, se produjo una pérdida de memoria que podía bloquear rápidamente el sistema (según la cantidad de accesos a archivos que se intentaran). Esto se detectó en producción porque provocó un crecimiento continuo de la memoria, lo que finalmente provocó un OOM del kernel y lo bloqueó por completo. Rastreo de pila de kmemleak relevante: objeto sin referencia 0xffff888131e69900 (tamaño 128): comm "git", pid 66104, jiffies 4295435999 volcado hexadecimal (primeros 32 bytes): 76 6f 6c 75 6d 65 73 2f 63 6f 6e 74 61 69 6e 65 volúmenes/contenedores 72 73 2f 67 69 74 65 61 2f 67 69 74 65 61 2f 67 rs/gitea/gitea/g backtrace (crc 2f3bb450): [] __kmalloc_noprof+0x359/0x510 [] ceph_mds_check_access+0x5bf/0x14e0 [ceph] [] ceph_open+0x312/0xd80 [ceph] [] do_dentry_open+0x456/0x1120 [] vfs_open+0x79/0x360 [] path_openat+0x1de5/0x4390 [] do_filp_open+0x19c/0x3c0 [] do_sys_openat2+0x141/0x180 [] __x64_sys_open+0xe5/0x1a0 [] do_syscall_64+0xb7/0x210 [] entry_SYSCALL_64_after_hwframe+0x77/0x7f Se puede activar montando un subdirectorio de un sistema de archivos CephFS y luego intentando acceder a los archivos en este subdirectorio con un token de autenticación usando una capacidad con alcance de ruta: $ ceph auth get client.services [client.services] key = REDACTED caps mds = "allow rw fsname=cephfs path=/volumes/" caps mon = "allow r fsname=cephfs" caps osd = "allow rw tag cephfs data=cephfs" $ cat /proc/self/mounts services@[REDACTADO].cephfs=/volumes/containers /ceph/containers ceph rw,noatime,name=services,secret=,ms_mode=prefer-crc,mount_timeout=300,acl,mon_addr=[REDACTADO]:3300,recover_session=clean 0 0 $ seq 1 1000000 | xargs -P32 --replace={} touch /ceph/containers/file-{} && \ seq 1 1000000 | xargs -P32 --replace={} cat /ceph/containers/file-{} [ idryomov: combinar instrucciones if, cambiar el nombre de rc a path_matched y convertirlo en un bool, formatear ]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: x86/mmu: Asegúrese de que el subproceso de recuperación de páginas enormes de NX esté activo antes de reactivarlo. Al reactivar el subproceso de recuperación de páginas enormes de NX de una máquina virtual, asegúrese de que el subproceso esté realmente activo antes de intentar reactivarlo. Ahora que el subproceso se genera a pedido durante KVM_RUN, se puede acceder a una máquina virtual sin un subproceso de recuperación a través de los parámetros del módulo relacionado. ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000040 #PF: acceso de lectura del supervisor en modo kernel #PF: error_code(0x0000) - página no presente Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 0.0.0 02/06/2015 RIP: 0010:vhost_task_wake+0x5/0x10 Rastreo de llamadas: set_nx_huge_pages+0xcc/0x1e0 [kvm] param_attr_store+0x8a/0xd0 module_attr_store+0x1a/0x30 kernfs_fop_write_iter+0x12f/0x1e0 vfs_write+0x233/0x3e0 ksys_write+0x60/0xd0 do_syscall_64+0x5b/0x160 entry_SYSCALL_64_after_hwframe+0x4b/0x53 RIP: 0033:0x7f3b52710104 Módulos vinculados en: kvm_intel kvm CR2: 000000000000040

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: ipheth: fix DPE OoB read Corrige una lectura de DPE fuera de los límites, limita la cantidad de DPE procesados a la cantidad que cabe en el encabezado NDP16 de tamaño fijo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: ipheth: usar ubicación estática de NDP16 en URB El código original permitía que el inicio de NDP16 estuviera en cualquier lugar dentro de URB según el valor `wNdpIndex` en NTH16. Solo se comprobó la posición de inicio de NDP16, por lo que era posible que incluso la parte de longitud fija de NDP16 se extendiera más allá del final de URB, lo que generaba una lectura fuera de los límites. En los dispositivos iOS, el encabezado NDP16 siempre sigue directamente a NTH16. Confíe en este formato específico y compruébelo. Esto, junto con la comprobación de longitud mínima de URB específica de NCM que ya existe, garantizará que la parte de longitud fija de NDP16 más una cantidad establecida de DPE quepan dentro de URB. Tenga en cuenta que esta confirmación por sí sola no aborda por completo la lectura OoB. El límite en la cantidad de DPE debe aplicarse por separado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usbnet: ipheth: corrige posible desbordamiento en la comprobación de longitud de DPE Originalmente, era posible que la comprobación de longitud de DPE se desbordara si wDatagramIndex + wDatagramLength > U16_MAX. Esto podría provocar una lectura OoB. Mueva el término wDatagramIndex al otro lado de la desigualdad. Una condición existente asegura que wDatagramIndex < urb->actual_length.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: Se corrige el tamaño de página del búfer de copia Para un búfer no registrado, el controlador fastrpc copia el búfer y lo pasa al subsistema remoto. Hay un problema con la implementación actual del cálculo del tamaño de página que no considera el desplazamiento en el cálculo. Esto podría provocar que se pase un tamaño de página incorrecto y fuera de los límites, lo que podría generar un problema de memoria. Calcule el inicio y el final de la página utilizando la dirección ajustada por desplazamiento en lugar de la dirección absoluta.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nilfs2: se corrigen posibles desbordamientos de int en nilfs_fiemap() Dado que nilfs_bmap_lookup_contig() en nilfs_fiemap() calcula su resultado al estar preparado para pasar por bloques potencialmente maxblocks == INT_MAX, el valor en n puede experimentar un desbordamiento causado por el desplazamiento a la izquierda de blkbits. Si bien es extremadamente improbable que ocurra, no corra riesgos y convierta la expresión de la mano derecha a un tipo más amplio para mitigar el problema. Encontrado por Linux Verification Center (linuxtesting.org) con la herramienta de análisis estático SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ata: libata-sff: Asegúrese de que no podamos escribir fuera del búfer asignado reveliofuzzing informó que un ioctl SCSI_IOCTL_SEND_COMMAND con out_len establecido en 0xd42, comando SCSI establecido en ATA_16 PASS-THROUGH, comando ATA establecido en ATA_NOP y protocolo establecido en ATA_PROT_PIO, puede hacer que ata_pio_sector() escriba fuera del búfer asignado, sobrescribiendo memoria aleatoria. Si bien se supone que un dispositivo ATA debe abortar un comando ATA_NOP, parece haber un error en libata-sff o QEMU, donde este estado no está establecido o el estado se borra antes de la lectura por ata_sff_hsm_move(). De todos modos, es muy probable que se trate de un error separado. Si analizamos __atapi_pio_bytes(), veremos que ya tiene una comprobación de seguridad para garantizar que __atapi_pio_bytes() no pueda escribir fuera del búfer asignado. Agreguemos una comprobación similar a ata_pio_sector(), de modo que ata_pio_sector() tampoco pueda escribir fuera del búfer asignado.