Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: hwmon: (asus-ec-sensors) Agregar comprobaciones para devm_kcalloc Como devm_kcalloc puede devolver NULL, se debe comprobar el valor de retorno para evitar la desreferencia del puntero NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: hwmon: (coretemp) Verificar si hay valores nulos antes de eliminar los atributos de sysfs Si coretemp_add_core() obtiene un error, entonces pdata->core_data[indx] ya es NULL y se ha liberado. No pase eso a sysfs_remove_group() ya que eso bloqueará sysfs_remove_group(). [Abreviado para facilitar la lectura] [91854.020159] sysfs: no se puede crear un nombre de archivo duplicado '/devices/platform/coretemp.0/hwmon/hwmon2/temp20_label' [91855.126115] ERROR: desreferencia de puntero NULL del kernel, dirección: 0000000000000188 [91855.165103] #PF: acceso de lectura del supervisor en modo kernel [91855.194506] #PF: error_code(0x0000) - página no presente [91855.224445] PGD 0 P4D 0 [91855.238508] Oops: 0000 [#1] PREEMPT SMP PTI ... [91855.342716] RIP: 0010:sysfs_remove_group+0xc/0x80 ... [91855.796571] Seguimiento de llamadas: [91855.810524] coretemp_cpu_offline+0x12b/0x1dd [coretemp] [91855.841738] ? coretemp_cpu_online+0x180/0x180 [coretemp] [91855.871107] cpuhp_invoke_callback+0x105/0x4b0 [91855.893432] cpuhp_thread_fun+0x8e/0x150 ... Solucione esto comprobando primero si es NULL.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: hwmon: (coretemp) corrige la pérdida de recuento de referencias del dispositivo pci en nv1a_ram_new() Como dice el comentario de pci_get_domain_bus_and_slot(), devuelve un dispositivo pci con un incremento de recuento de referencias, cuando termina de usarlo, el llamador debe disminuir el recuento de referencias llamando a pci_dev_put(). Por lo tanto, llámelo después de usarlo para evitar la pérdida de recuento de referencias.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: afs: Se corrige la fuga de server->active en afs_put_server. atomic_read se reemplazó accidentalmente con atomic_inc_return, lo que evita que se limpie el servidor y hace que rmmod se cuelgue con una advertencia: No se puede purgar s=00000001

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: sctp: se corrige la pérdida de memoria en sctp_stream_outq_migrate() Cuando se llama a sctp_stream_outq_migrate() para liberar recursos de salida de flujo, la memoria a la que apunta prio_head en salida de flujo no se libera. La información de pérdida de memoria es la siguiente: objeto sin referencia 0xffff88801fe79f80 (tamaño 64): comm "sctp_repo", pid 7957, jiffies 4294951704 (edad 36.480s) volcado hexadecimal (primeros 32 bytes): 80 9f e7 1f 80 88 ff ff 80 9f e7 1f 80 88 ff ff ................ 90 9f e7 1f 80 88 ff ff 90 9f e7 1f 80 88 ff ff ................ backtrace: [] kmalloc_trace+0x26/0x60 [] sctp_sched_prio_set+0x4cc/0x770 [] sctp_stream_init_ext+0xd2/0x1b0 [] sctp_sendmsg_to_asoc+0x1614/0x1a30 [] sctp_sendmsg+0xda1/0x1ef0 [] inet_sendmsg+0x9d/0xe0 [] sock_sendmsg+0xd3/0x120 [] __sys_sendto+0x23a/0x340 [] __x64_sys_sendto+0xe1/0x1b0 [] hacer_llamada_al_sistema_64+0x39/0xb0 [] entrada_LLAMADA_AL_SISTEMA_64_después_de_hwframe+0x63/0xcd

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: tun: Se corrige el use after free en tun_detach() syzbot informó use after free en tun_detach() [1]. Esto provoca un seguimiento de llamadas como el siguiente: ==================================================================== ERROR: KASAN: use after free en notifier_call_chain+0x1ee/0x200 kernel/notifier.c:75 Lectura de tamaño 8 en la dirección ffff88807324e2a8 por la tarea syz-executor.0/3673 CPU: 0 PID: 3673 Comm: syz-executor.0 No contaminado 6.1.0-rc5-syzkaller-00044-gcc675d22e422 #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 26/10/2022 Seguimiento de llamadas: __dump_stack lib/dump_stack.c:88 [en línea] dump_stack_lvl+0xd1/0x138 lib/dump_stack.c:106 print_address_description mm/kasan/report.c:284 [en línea] print_report+0x15e/0x461 mm/kasan/report.c:395 kasan_report+0xbf/0x1f0 mm/kasan/report.c:495 notifier_call_chain+0x1ee/0x200 kernel/notifier.c:75 call_netdevice_notifiers_info+0x86/0x130 net/core/dev.c:1942 call_netdevice_notifiers_extack net/core/dev.c:1983 [en línea] llamar_notificadores_dispositivos_de_red net/core/dev.c:1997 [en línea] netdev_wait_allrefs_any net/core/dev.c:10237 [en línea] netdev_run_todo+0xbc6/0x1100 net/core/dev.c:10351 tun_detach drivers/net/tun.c:704 [en línea] tun_chr_close+0xe4/0x190 drivers/net/tun.c:3467 __fput+0x27c/0xa90 fs/file_table.c:320 tarea_trabajo_ejecutar+0x16f/0x270 kernel/tarea_trabajo.c:179 salir_tarea_trabajo incluir/linux/tarea_trabajo.h:38 [en línea] hacer_salir+0xb3d/0x2a30 kernel/exit.c:820 hacer_grupo_salir+0xd4/0x2a0 kernel/exit.c:950 obtener_señal+0x21b1/0x2440 kernel/señal.c:2858 arch_hacer_señal_o_reiniciar+0x86/0x2300 arch/x86/kernel/signal.c:869 bucle_salir_a_modo_usuario kernel/entry/common.c:168 [en línea] preparar_salir_a_modo_usuario+0x15f/0x250 kernel/entry/common.c:203 __syscall_salir_a_modo_usuario_trabajo kernel/entry/common.c:285 [en línea] syscall_salir_a_modo_usuario+0x1d/0x50 kernel/entry/common.c:296 La causa del problema es que sock_put() de __tun_detach() descarta el último recuento de referencias para struct net y luego notifier_call_chain() de netdev_state_change() accede a ese struct net. Este parche corrige el problema llamando a sock_put() desde tun_detach() después de que se hayan realizado todos los accesos necesarios para struct net.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net:hsr: Se corrige un posible use after free. El skb se entrega a netif_rx() que puede liberarlo; después de llamarlo, desreferenciar skb puede desencadenar un use after free.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: mdiobus: arregla el recuento de referencias de nodos desequilibrados Obtuve el siguiente informe mientras realizaba la prueba de carga del dispositivo (mscc-miim) con CONFIG_OF_UNITTEST y CONFIG_OF_DYNAMIC habilitados: OF: ERROR: pérdida de memoria, se esperaba un recuento de referencias 1 en lugar de 2, of_node_get()/of_node_put() desequilibrado - destruye la entrada cset: adjuntar un nodo superpuesto /spi/soc@0/mdio@7107009c/ethernet-phy@0 Si el 'fwnode' no es un nodo acpi, el recuento de referencias se obtiene en fwnode_mdiobus_phy_device_register(), pero nunca se ha colocado cuando el dispositivo se libera en la ruta normal. Entonces llama a fwnode_handle_put() en phy_device_release() para evitar la pérdida. Si es un nodo acpi, nunca se ha obtenido, pero se coloca en la ruta de error, por lo que se llama a fwnode_handle_get() antes de phy_device_register() para mantener equilibrada la operación de obtención/colocación.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tipc: volver a obtener el skb cb después de tipc_msg_validate Como muestra el seguimiento de la llamada, el skb original se liberó en tipc_msg_validate(), y desreferenciar el antiguo skb cb causaría un bloqueo por use after free. ERROR: KASAN: use after free en tipc_crypto_rcv_complete+0x1835/0x2240 [tipc] Seguimiento de llamadas: tipc_crypto_rcv_complete+0x1835/0x2240 [tipc] tipc_crypto_rcv+0xd32/0x1ec0 [tipc] tipc_rcv+0x744/0x1150 [tipc] ... Asignado por la tarea 47078: kmem_cache_alloc_node+0x158/0x4d0 __alloc_skb+0x1c1/0x270 tipc_buf_acquire+0x1e/0xe0 [tipc] tipc_msg_create+0x33/0x1c0 [tipc] tipc_link_build_proto_msg+0x38a/0x2100 [tipc] tipc_link_timeout+0x8b8/0xef0 [tipc] tipc_node_timeout+0x2a1/0x960 [tipc] call_timer_fn+0x2d/0x1c0 ... Liberado por la tarea 47078: tipc_msg_validate+0x7b/0x440 [tipc] tipc_crypto_rcv_complete+0x4b5/0x2240 [tipc] tipc_crypto_rcv+0xd32/0x1ec0 [tipc] tipc_rcv+0x744/0x1150 [tipc] Este parche lo corrige volviendo a obtener el cb skb del nuevo skb asignado después de llamar a tipc_msg_validate().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mptcp: se corrige la suspensión en atomic en el momento del cierre Matt informó un splat en el momento del cierre de msk: ERROR: función de suspensión llamada desde un contexto no válido en net/mptcp/protocol.c:2877 in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 155, name: packetdrill preempt_count: 201, expected: 0 Profundidad de anidación de RCU: 0, expected: 0 4 bloqueos mantenidos por packetdrill/155: #0: ffff888001536990 (&sb->s_type->i_mutex_key#6){+.+.}-{3:3}, en: __sock_release (net/socket.c:650) #1: ffff88800b498130 (sk_lock-AF_INET){+.+.}-{0:0}, en: mptcp_close (net/mptcp/protocol.c:2973) #2: ffff88800b49a130 (sk_lock-AF_INET/1){+.+.}-{0:0}, en: __mptcp_close_ssk (net/mptcp/protocol.c:2363) #3: ffff88800b49a0b0 (slock-AF_INET){+...}-{2:2}, en: __lock_sock_fast (include/net/sock.h:1820) Preempción deshabilitada en: 0x0 CPU: 1 PID: 155 Comm: packetdrill No contaminado 6.1.0-rc5 #365 Nombre del hardware: QEMU PC estándar (i440FX + PIIX, 1996), BIOS 1.15.0-1 01/04/2014 Seguimiento de llamadas: dump_stack_lvl (lib/dump_stack.c:107 (discriminador 4)) __might_resched.cold (kernel/sched/core.c:9891) __mptcp_destroy_sock (include/linux/kernel.h:110) __mptcp_close (net/mptcp/protocol.c:2959) mptcp_subflow_queue_clean (include/net/sock.h:1777) __mptcp_close_ssk (net/mptcp/protocol.c:2363) mptcp_destroy_common (net/mptcp/protocol.c:3170) mptcp_destroy (include/net/sock.h:1495) __mptcp_destroy_sock (net/mptcp/protocol.c:2886) __mptcp_close (net/mptcp/protocol.c:2959) mptcp_close (net/mptcp/protocol.c:2974) inet_release (net/ipv4/af_inet.c:432) __sock_release (net/socket.c:651) sock_close (net/socket.c:1367) __fput (fs/file_table.c:320) task_work_run (kernel/task_work.c:181 (discriminador 1)) salir_a_modo_usuario_preparar (include/linux/reanudar_modo_usuario.h:49) No podemos llamar a mptcp_close bajo la variante de bloqueo de socket 'rápido', reemplácelo con sock_lock_nested() ya que el código relevante ya está bajo la protección de bloqueo de socket msk de escucha.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/khugepaged: invocar notificadores MMU en rutas de colapso de shmem/archivo Cualquier ruta de código que elimine las entradas de la tabla de páginas debe invocar notificadores MMU para garantizar que las MMU secundarias (como KVM) no sigan accediendo a páginas que ya no están asignadas. Las MMU secundarias no mantienen sus propias referencias a páginas que se reflejan, por lo que no notificarlas puede provocar el use-after-free de la página. Estoy marcando esto como una solución a un problema introducido en el commit f3f0e1d2150b ("khugepaged: agregar compatibilidad con el colapso para páginas tmpfs/shmem"), pero la mayor parte del impacto de seguridad de esto solo se produjo en el commit 27e1f8273113 ("khugepaged: habilitar el colapso pmd para THP asignado a pte"), que en realidad omitió los vaciados para la eliminación de PTE actuales, no solo para la eliminación de tablas de páginas vacías.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: soc-pcm: Agregar comprobación NULL en la reparentalización de BE Agregar comprobación NULL en la API dpcm_be_reparent para manejar el error de desreferencia de puntero NULL del kernel. El problema se produjo en la prueba de fuzzing.