Vulnerabilidades

Se descubrió que OneBlog v2.3.6 contenía una vulnerabilidad de inyección de plantillas a través del departamento de gestión de plantillas.

PHPGurukul Small CRM 3.0 es vulnerable a Cross Site Scripting (XSS) a través de un payload manipulado inyectado en el nombre en profile.php.

Se ha encontrado una vulnerabilidad en GNU Binutils 2.43. Se ha declarado como problemática. Esta vulnerabilidad afecta a la función bfd_malloc del archivo libbfd.c del componente ld. La manipulación provoca una fuga de memoria. El ataque puede iniciarse de forma remota. La complejidad de un ataque es bastante alta. La explotación parece ser difícil. El exploit se ha hecho público y puede utilizarse. Se recomienda aplicar un parche para solucionar este problema. El responsable del código explica: "No voy a enviar algunas de las correcciones de fugas en las que he estado trabajando a la rama 2.44 debido a la preocupación de que desestabilizarían ld. Todas las fugas informadas en este bugzilla se han solucionado en binutils master".

Se ha encontrado una vulnerabilidad en GNU Binutils 2.43. Se ha calificado como problemática. Este problema afecta a la función xmemdup del archivo xmemdup.c del componente ld. La manipulación provoca una fuga de memoria. El ataque puede iniciarse de forma remota. La complejidad de un ataque es bastante alta. Se sabe que la explotación es difícil. El exploit se ha revelado al público y puede utilizarse. Se recomienda aplicar un parche para solucionar este problema. El responsable del código explica: "No voy a enviar algunas de las correcciones de fugas en las que he estado trabajando a la rama 2.44 debido a la preocupación de que desestabilizarían ld. Todas las fugas informadas en este bugzilla se han solucionado en binutils master".

OpenProject es un software de gestión de proyectos basado en la web y de código abierto. En versiones anteriores a la 15.2.1, la aplicación no puede depurar correctamente la entrada del usuario antes de mostrarla en la sección Gestión de grupos. Los grupos creados con etiquetas de script HTML no se escapan correctamente antes de mostrarlos en un proyecto. El problema se ha resuelto en la versión 15.2.1 de OpenProject. Aquellos que no puedan actualizar pueden aplicar el parche manualmente.

PAM-PKCS#11 es un módulo de inicio de sesión de Linux-PAM que permite un inicio de sesión de usuario basado en certificado X.509. Antes de la versión 0.6.13, si cert_policy se configuraba en none (el valor predeterminado), entonces pam_pkcs11 solo verificaba si el usuario puede iniciar sesión en el token. Un atacante puede crear un token diferente con los datos públicos del usuario (por ejemplo, el certificado del usuario) y un PIN conocido por el atacante. Si no se requiere una firma con la clave privada, entonces el atacante puede iniciar sesión como usuario con ese token creado. El valor predeterminado de *no* verificar la firma de la clave privada se ha cambiado con el commit commi6638576892b59a99389043c90a1e7dd4d783b921, por lo que todas las versiones que comiencen con pam_pkcs11-0.6.0 deberían verse afectadas. Como workaround, en `pam_pkcs11.conf`, establezca al menos `cert_policy = signature;`.

Net::IMAP implementa la funcionalidad del cliente del Protocolo de acceso a mensajes de Internet (IMAP) en Ruby. A partir de la versión 0.3.2 y antes de las versiones 0.3.8, 0.4.19 y 0.5.6, existe la posibilidad de denegación de servicio por agotamiento de la memoria en el analizador de respuestas de `net-imap`. En cualquier momento mientras el cliente esté conectado, un servidor malintencionado puede enviar datos `uid-set` altamente comprimidos que son leídos automáticamente por el hilo receptor del cliente. El analizador de respuestas utiliza `Range#to_a` para convertir los datos `uid-set` en matrices de números enteros, sin limitación en el tamaño expandido de los rangos. Las versiones 0.3.8, 0.4.19, 0.5.6 y posteriores solucionan este problema. Hay detalles adicionales para la configuración adecuada de las versiones corregidas y la compatibilidad con versiones anteriores disponibles en el Aviso de seguridad de GitHub.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring/rsrc: requiere que los búferes clonados compartan contextos de contabilidad Cuando se utiliza IORING_REGISTER_CLONE_BUFFERS para clonar búferes de la instancia A de uring a la instancia B de uring, donde A y B utilizan diferentes MM para la contabilidad, la contabilidad puede fallar: si la instancia A de uring se cierra antes que la instancia B de uring, los contadores de memoria fijada para la instancia B de uring se reducirán, aunque la memoria fijada se contabilizó originalmente a través de la instancia A de uring; por lo que la MM de la instancia B de uring puede terminar con memoria bloqueada negativa.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cachestat: corregir la comprobación de permisos de las estadísticas de caché de página Cuando se añadió la llamada al sistema 'cachestat()' en el commit cf264e1329fb ("cachestat: implementar la llamada al sistema cachestat"), se suponía que era una versión mucho más conveniente (y de mayor rendimiento) de mincore() que no necesitaba asignar cosas al espacio de direcciones virtuales del usuario para funcionar. Pero terminó faltando la corrección de "comprobar la capacidad de escritura o la propiedad" para mincore(), realizada en el commit 134fca9063ad ("mm/mincore.c: hacer que mincore() sea más conservador"). Esto solo añade una lógica equivalente a 'cachestat()', modificada para el contexto del archivo (en lugar de vma).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: zswap: sincronizar correctamente la liberación de recursos durante la desconexión en caliente de la CPU En zswap_compress() y zswap_decompress(), se recupera y se utiliza en todo momento el acomp_ctx por CPU de la CPU actual al comienzo de la operación. Sin embargo, dado que ni la preempción ni la migración están deshabilitadas, es posible que la operación continúe en una CPU diferente. Si se desconecta en caliente la CPU original mientras el acomp_ctx todavía está en uso, nos encontramos con un error de UAF ya que algunos de los recursos adjuntos al acomp_ctx se liberan durante la desconexión en caliente en zswap_cpu_comp_dead() (es decir, acomp_ctx.buffer, acomp_ctx.req o acomp_ctx.acomp). El problema se introdujo en el commit 1ec3b5fe6eec ("mm/zswap: pasar a usar la API crypto_acomp para la aceleración de hardware") cuando se realizó el cambio a la API crypto_acomp. Antes de eso, el crypto_comp por CPU se recuperaba usando get_cpu_ptr() que deshabilita la preempción y se asegura de que la CPU no pueda irse de debajo de nosotros. La preempción no se puede deshabilitar con la API crypto_acomp ya que se necesita un contexto inactivo. Use acomp_ctx.mutex para sincronizar las devoluciones de llamadas hotplug de la CPU que asignan y liberan recursos con rutas de compresión/descompresión. Asegúrese de que acomp_ctx.req sea NULL cuando se liberan los recursos. En las rutas de compresión/descompresión, verifique si acomp_ctx.req es NULL después de adquirir el mutex (lo que significa que la CPU estaba fuera de línea) y vuelva a intentarlo en la nueva CPU. La inicialización de acomp_ctx.mutex se mueve de la devolución de llamada hotplug de la CPU a la inicialización del grupo donde pertenece (donde se asigna el mutex). Además de agregar claridad, esto asegura que la conexión en caliente de la CPU no pueda reinicializar un mutex que ya está bloqueado por compresión/descompresión. Anteriormente se intentó una solución manteniendo pulsada la tecla cpus_read_lock() [1]. Esto habría provocado un posible bloqueo, ya que es posible que el código que ya mantiene el bloqueo caiga en recuperación y entre en zswap (provocando un bloqueo). También se intentó una solución utilizando SRCU para la sincronización, pero Johannes señaló que no se puede utilizarsynchronous_srcu() en los notificadores de conexión en caliente de la CPU [2]. Workarounds que se consideraron/intentaron y que podrían haber funcionado: - Refcounting el acomp_ctx por CPU. Esto implica complejidad en la gestión de la ejecución entre el refcount que cae a cero en zswap_[de]compress() y el refcount que se reinicializa cuando la CPU está en línea. - Deshabilitar la migración antes de obtener el acomp_ctx por CPU [3], pero eso no se recomienda y es un martillo mucho más grande de lo necesario, y podría dar lugar a problemas de rendimiento sutiles. [1]https://lkml.kernel.org/20241219212437.2714151-1-yosryahmed@google.com/ [2]https://lkml.kernel.org/20250107074724.1756696-2-yosryahmed@google.com/ [3]https://lkml.kernel.org/20250107222236.2715883-2-yosryahmed@google.com/ [yosryahmed@google.com: eliminar comentario] Enlace: https://lkml.kernel.org/r/CAJD7tkaxS1wjn+swugt8QCvQ-rVF5RZnjxwPGX17k8x9zSManA@mail.gmail.com

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vfio/platform: comprueba que los límites de las llamadas al sistema de lectura/escritura count y offset se pasan desde el espacio del usuario y no se comprueban, solo offset está limitado a 40 bits, que se pueden usar para leer/escribir fuera de los límites del dispositivo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/v3d: Asignar puntero de trabajo a NULL antes de señalar la valla En el commit e4b5ccd392b9 ("drm/v3d: Asegurarse de que el puntero de trabajo esté establecido en NULL después de la finalización del trabajo"), introdujimos un cambio para asignar el puntero de trabajo a NULL después de completar un trabajo, lo que indica la finalización del trabajo. Sin embargo, este enfoque creó una condición de ejecución entre la cola de trabajo del programador DRM y el hilo de ejecución de IRQ. Tan pronto como se señala la valla en el hilo de ejecución de IRQ, comienza a ejecutarse un nuevo trabajo. Esto da como resultado una condición de ejecución donde el hilo de ejecución de IRQ establece el puntero de trabajo en NULL simultáneamente mientras la función `run_job()` asigna un nuevo trabajo al puntero. Esta condición de ejecución puede conducir a una desreferencia de puntero NULL si el hilo de ejecución de IRQ establece el puntero de trabajo en NULL después de que `run_job()` lo asigne al nuevo trabajo. Cuando se completa el nuevo trabajo y la GPU emite una interrupción, se activa `v3d_irq()`, lo que puede provocar un bloqueo. [ 466.310099] No se puede gestionar la desreferencia del puntero NULL del núcleo en la dirección virtual 00000000000000c0 [ 466.318928] Mem abort info: [ 466.321723] ESR = 0x0000000096000005 [ 466.325479] EC = 0x25: DABT (current EL), IL = 32 bits [ 466.330807] SET = 0, FnV = 0 [ 466.333864] EA = 0, S1PTW = 0 [ 466.337010] FSC = 0x05: level 1 translation fault [ 466.341900] Data abort info: [ 466.344783] ISV = 0, ISS = 0x00000005, ISS2 = 0x00000000 [ 466.350285] CM = 0, WnR = 0, TnD = 0, TagAccess = 0 [ 466.355350] GCS = 0, Overlay = 0, DirtyBit = 0, Xs = 0 [ 466.360677] user pgtable: 4k pages, 39-bit VAs, pgdp=0000000089772000 [ 466.367140] [00000000000000c0] pgd=0000000000000000, p4d=0000000000000000, pud=0000000000000000 [ 466.375875] Internal error: Oops: 0000000096000005 [#1] PREEMPT SMP [ 466.382163] Modules linked in: rfcomm snd_seq_dummy snd_hrtimer snd_seq snd_seq_device algif_hash algif_skcipher af_alg bnep binfmt_misc vc4 snd_soc_hdmi_codec drm_display_helper cec brcmfmac_wcc spidev rpivid_hevc(C) drm_client_lib brcmfmac hci_uart drm_dma_helper pisp_be btbcm brcmutil snd_soc_core aes_ce_blk v4l2_mem2mem bluetooth aes_ce_cipher snd_compress videobuf2_dma_contig ghash_ce cfg80211 gf128mul snd_pcm_dmaengine videobuf2_memops ecdh_generic sha2_ce ecc videobuf2_v4l2 snd_pcm v3d sha256_arm64 rfkill videodev snd_timer sha1_ce libaes gpu_sched snd videobuf2_common sha1_generic drm_shmem_helper mc rp1_pio drm_kms_helper raspberrypi_hwmon spi_bcm2835 gpio_keys i2c_brcmstb rp1 raspberrypi_gpiomem rp1_mailbox rp1_adc nvmem_rmem uio_pdrv_genirq uio i2c_dev drm ledtrig_pattern drm_panel_orientation_quirks backlight fuse dm_mod ip_tables x_tables ipv6 [ 466.458429] CPU: 0 UID: 1000 PID: 2008 Comm: chromium Tainted: G C 6.13.0-v8+ #18 [ 466.467336] Tainted: [C]=CRAP [ 466.470306] Hardware name: Raspberry Pi 5 Model B Rev 1.0 (DT) [ 466.476157] pstate: 404000c9 (nZcv daIF +PAN -UAO -TCO -DIT -SSBS BTYPE=--) [ 466.483143] pc : v3d_irq+0x118/0x2e0 [v3d] [ 466.487258] lr : __handle_irq_event_percpu+0x60/0x228 [ 466.492327] sp : ffffffc080003ea0 [ 466.495646] x29: ffffffc080003ea0 x28: ffffff80c0c94200 x27: 0000000000000000 [ 466.502807] x26: ffffffd08dd81d7b x25: ffffff80c0c94200 x24: ffffff8003bdc200 [ 466.509969] x23: 0000000000000001 x22: 00000000000000a7 x21: 0000000000000000 [ 466.517130] x20: ffffff8041bb0000 x19: 0000000000000001 x18: 0000000000000000 [ 466.524291] x17: ffffffafadfb0000 x16: ffffffc080000000 x15: 0000000000000000 [ 466.531452] x14: 0000000000000000 x13: 0000000000000000 x12: 0000000000000000 [ 466.538613] x11: 0000000000000000 x10: 0000000000000000 x9 : ffffffd08c527eb0 [ 466.545777] x8 : 0000000000000000 x7 : 0000000000000000 x6 : 0000000000000000 [ 466.552941] x5 : ffffffd08c4100d0 x4 : ffffffafadfb0000 x3 : ffffffc080003f70 ---truncated---