Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: bpf: corrige un posible use-after-free en bpf_link_free() Después del commit 1a80dbcb2dba, bpf_link se puede liberar mediante link->ops->dealloc_deferred, pero el código aún prueba y usa link->ops->dealloc después, lo que conduce a un use-after-free según lo informado por syzbot. En realidad, uno de ellos debería ser suficiente, así que llame a uno de ellos en lugar de a ambos. También agregue WARN_ON() en caso de cualquier implementación problemática.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: memblock: make memblock_set_node() también advierte sobre el uso de MAX_NUMNODES En un sistema x86 (antiguo) con SRAT que solo cubre espacio superior a 4 Gb: ACPI: SRAT: Nodo 0 PXM 0 [mem 0x100000000 -0xfffffffff] hotplug, El commit a la que se hace referencia a continuación hace que esta configuración NUMA ya no sea rechazada por un kernel CONFIG_NUMA=y (anteriormente NUMA: los nodos solo cubren 6144 MB de su RAM e820 de 8185 MB. No se usa. No se encontró ninguna configuración NUMA Falsificar un nodo en [mem 0x0000000000000000-0x000000027fffffff] se vio en el registro directamente después del mensaje citado anteriormente), debido a que memblock_validate_numa_coverage() verifica NUMA_NO_NODE (solamente). Esto a su vez llevó a la advertencia de memblock_alloc_range_nid() sobre la activación de MAX_NUMNODES, seguida de una deref NULL en memmap_init() al intentar acceder a los datos del nodo 64 (NODE_SHIFT=6). Para compensar dicho cambio, active memblock_set_node() y ajuste un valor pasado de MAX_NUMNODES, tal como lo hacen otras funciones.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: parisc: intenta corregir fallas de segmentación aleatoria en compilaciones de paquetes. Los sistemas PA-RISC con procesadores PA8800 y PA8900 han tenido problemas con fallas de segmentación aleatoria durante muchos años. Los sistemas con procesadores anteriores son mucho más estables. Los sistemas con procesadores PA8800 y PA8900 tienen una gran caché L2 que necesita un vaciado por página para un rendimiento decente cuando se vacía un rango grande. La caché combinada en estos sistemas también es más sensible a alias no equivalentes que las cachés de sistemas anteriores. La mayoría de los fallos de segmentación aleatoria que he observado parecen ser daños en la memoria asignada mediante mmap y malloc. Mi primer intento de solucionar los fallos aleatorios no funcionó. Al revisar el código de caché, me di cuenta de que había dos problemas que el código existente no manejaba correctamente. Ambos se relacionan con la entrada de caché. Otro problema es que la actualidad en las PTE es picante. 1) Los cachés PA-RISC tienen mente propia y pueden cargar especulativamente datos e instrucciones para una página siempre que haya una entrada en el TLB para la página que permita la entrada. Los TLB son locales para cada CPU. Por lo tanto, la entrada TLB de una página debe eliminarse antes de eliminarla. Esto es particularmente importante en los sistemas SMP. En algunas de las rutinas de vaciado, se llamaría a la rutina de vaciado y luego se purgaría la entrada TLB. Esto se debía a que la rutina de lavado necesitaba la entrada TLB para realizar el lavado. 2) Mi enfoque inicial para intentar solucionar las fallas aleatorias fue intentar usar Flush_cache_page_if_present para todas las operaciones de descarga. En realidad, esto empeoró las cosas y provocó un par de bloqueos de hardware. Finalmente me di cuenta de que algunas líneas no se estaban borrando porque el código de verificación del pte era picante. Esto resultó en asignaciones aleatorias no equivalentes a páginas físicas. La descarga tmpalias __flush_cache_page configura su propia entrada TLB y no necesita la entrada TLB existente. Siempre que podamos encontrar el puntero pte de la página vm, podemos obtener el pfn y la dirección física de la página. También podemos purgar la entrada TLB de la página antes de realizar el vaciado. Además, __flush_cache_page utiliza una entrada TLB especial que inhibe la entrada de caché. Al cambiar las asignaciones de páginas, debemos asegurarnos de que las líneas se eliminen del caché. No es suficiente simplemente borrar las líneas de la memoria, ya que pueden volver. Esto dejó en claro que necesitábamos implementar todas las operaciones de vaciado necesarias utilizando rutinas tmpalias. Esto incluye vaciados para páginas de usuario y de kernel. Después de modificar el código para usar tmpalias vaciados, quedó claro que los errores de segmentación aleatoria no se resolvieron por completo. La frecuencia de fallas fue peor en sistemas con 64 MB L2 (PA8900) y sistemas con más CPU (rp4440). La advertencia que agregué a Flush_cache_page_if_present para detectar páginas que no se podían vaciar se activaba con frecuencia en algunos sistemas. Helge y yo miramos las páginas que no se podían vaciar y descubrimos que la PTE estaba vacía o era una página de intercambio. Ignorar las páginas que se intercambiaron parecía estar bien, pero las páginas con PTE borradas parecían problemáticas. Miré rutinas relacionadas con pte_clear y noté ptep_clear_flush. La implementación predeterminada simplemente vacía la entrada TLB. Sin embargo, era obvio que en París también necesitamos vaciar la página de caché. Si no limpiamos la página de caché, quedarán líneas obsoletas en la caché y provocarán daños aleatorios. Una vez que se borra una PTE, no hay forma de encontrar la dirección física asociada con la PTE y borrar la página asociada más adelante. ---truncado---

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: bpf: Establecer el contexto de ejecución para la devolución de llamada de rawtp test_run syzbot informó un bloqueo cuando el programa rawtp ejecutado a través de la interfaz test_run llama al asistente bpf_get_attach_cookie o cualquier otro asistente que toque el puntero tarea->bpf_ctx. Configuración del contexto de ejecución (tarea->puntero bpf_ctx) para la devolución de llamada test_run.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: ax25: corrige el desequilibrio de recuento en conexiones entrantes Al liberar un socket en ax25_release(), llamamos a netdev_put() para disminuir el recuento en el dispositivo ax.25 asociado. Sin embargo, la ruta de ejecución para aceptar una conexión entrante nunca llama a netdev_hold(). Este desequilibrio conduce a errores de recuento y, en última instancia, a fallos del kernel. Un seguimiento de llamada típico para la situación anterior comenzará con uno de los siguientes errores: refcount_t: decrement hit 0; pérdida de memoria. refcount_t: desbordamiento insuficiente; use-after-free. Y luego tendrá un seguimiento como: Call Trace: ? show_regs+0x64/0x70? __advertir+0x83/0x120 ? refcount_warn_saturate+0xb2/0x100? report_bug+0x158/0x190? prb_read_valid+0x20/0x30? handle_bug+0x3e/0x70? exc_invalid_op+0x1c/0x70? asm_exc_invalid_op+0x1f/0x30? refcount_warn_saturate+0xb2/0x100? refcount_warn_saturate+0xb2/0x100 ax25_release+0x2ad/0x360 __sock_release+0x35/0xa0 sock_close+0x19/0x20 [...] Al reiniciar (o cualquier intento de eliminar la interfaz), el kernel se atasca en un bucle infinito: unregister_netdevice: esperando ax0 para quedar libre. Recuento de uso = 0 Este parche corrige estos problemas asegurando que llamemos a netdev_hold() y ax25_dev_hold() para nuevas conexiones en ax25_accept(). Esto hace que la lógica que conduce a ax25_accept() coincida con la lógica de ax25_bind(): en ambos casos incrementamos el refcount, que finalmente disminuye en ax25_release().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: cfg80211: bloquear wiphy en cfg80211_get_station Wiphy debe estar bloqueado antes de llamar a rdev_get_station() (ver lockdep afirmar en ieee80211_get_station()). Esto corrige la siguiente desreferencia NULL del kernel: No se puede manejar la desreferencia del puntero NULL del kernel en la dirección virtual 0000000000000050 Información de cancelación de memoria: ESR = 0x0000000096000006 EC = 0x25: DABT (EL actual), IL = 32 bits SET = 0, FnV = 0 EA = 0 , S1PTW = 0 FSC = 0x06: error de traducción de nivel 2 Información de cancelación de datos: ISV = 0, ISS = 0x00000006 CM = 0, WnR = 0 tabla de páginas de usuario: 4k páginas, VA de 48 bits, pgdp=0000000003001000 [0000000000000050] 00000002dca003 , p4d=0800000002dca003, pud=08000000028e9003, pmd=0000000000000000 Error interno: Ups: 0000000096000006 [#1] Módulos SMP vinculados en: netconsole dwc3_meson_g12a dwc3_of_simple dwc 3 ip_gre gre ath10k_pci ath10k_core ath9k ath9k_common ath9k_hw ath CPU: 0 PID: 1091 Comunicaciones: kworker/u8 :0 No contaminado 6.4.0-02144-g565f9a3a7911-dirty #705 Nombre de hardware: RPT (r1) (DT) Cola de trabajo: bat_events batadv_v_elp_throughput_metric_update pstate: 60000005 (nZCv daif -PAN -UAO -TCO -DIT -SSBS BTYPE=--) pc: ath10k_sta_statistics+0x10/0x2dc [ath10k_core] lr: sta_set_sinfo+0xcc/0xbd4 sp: ffff000007b43ad0 x29: ffff000007b43ad0 x28: ffff0000071fa900 x27: ffff00000294ca98 6: ffff000006830880 x25: ffff000006830880 x24: ffff00000294c000 x23: 0000000000000001 x22: ffff000007b43c90 x21: ffff800008898acc x20: 0294c6e8 x19: ffff000007b43c90 x18: 0000000000000000 x17: 445946354d552d78 x16: 62661f7200000000 x15: 57464f445946354d x14: 000000000000000 0 x13: 00000000000000e3 x12: d5f0acbcebea978e x11: 00000000000000e3 x10: 000000010048fe41 x9: 0000000000000000 x8: ffff000007b43d90 x7: 00 0000007a1e2125 x6: 0000000000000000 x5: ffff0000024e0900 x4: ffff800000a0250c x3: ffff000007b43c90 x2: ffff00000294ca98 x1: ffff000006831920 x0: 0000000000000000 Rastreo de llamadas: ath10k_sta_statistics+0x10/0x2dc [ath10k_core] sta_set_sinfo+0xcc/0xbd4 0211_get_station+0x2c/0x44 cfg80211_get_station+0x80/0x154 batadv_v_elp_get_throughput+0x138/0x1fc batadv_v_elp_throughput_metric_update+0x1c/0xa4 Process_one_work+0x1ec/ 0x414 work_thread+0x70/0x46c kthread+0xdc/0xe0 ret_from_fork+0x10/0x20 Código: a9bb7bfd 910003fd a90153f3 f9411c40 (f9402814) Esto sucede porque STA tiene tiempo para desconectarse y volver a conectarse antes de batadv_v_elp_throughput_metric_up date() se programa el trabajo retrasado. En esta situación, ath10k_sta_state() puede estar en medio de restablecer los datos de arsta cuando la cola de trabajo tiene la oportunidad de programarse y termina accediendo a ella. Bloquear Wiphy evita eso.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: wifi: mac80211: corrige el punto muerto en ieee80211_sta_ps_deliver_wakeup() La función ieee80211_sta_ps_deliver_wakeup() toma sta->ps_lock para sincronizarse con ieee80211_tx_h_unicast_ps_buf() que se llama desde el contexto softirq. Sin embargo, usar solo spin_lock() para obtener sta->ps_lock en ieee80211_sta_ps_deliver_wakeup() no impide que softirq se ejecute en esta misma CPU, ejecute ieee80211_tx_h_unicast_ps_buf() e intente tomar este mismo bloqueo que termina en punto muerto. A continuación se muestra un ejemplo de bloqueo de rcu que surge en tal situación. rcu: INFORMACIÓN: rcu_sched autodetectado bloqueo en la CPU rcu: 2-....: (42413413 marca este GP) idle=b154/1/0x40000000000000000 softirq=1763/1765 fqs=21206996 rcu: (t=42586894 santiamén g= 2057 q=362405 ncpus=4) CPU: 2 PID: 719 Comm: wpa_supplicant Contaminado: GW 6.4.0-02158-g1b062f552873 #742 Nombre de hardware: RPT (r1) (DT) pstate: 00000005 (nzcv daif -PAN -UAO - TCO -DIT -SSBS BTYPE=--) pc: queued_spin_lock_slowpath+0x58/0x2d0 lr: invoke_tx_handlers_early+0x5b4/0x5c0 sp: ffff00001ef64660 x29: ffff00001ef64660 x28: ffff000009bc1070 : ffff000009bc0ad8 x26: ffff000009bc0900 x25: ffff00001ef647a8 x24: 0000000000000000 x23: ffff000009bc0900 x22: ffff000009bc0900 x21: ffff00000ac0e000 x20: ffff00000a279e00 x19: ffff00001ef646e8 x18: 0000000000000000 x17: ffff800016468000 x16: 08c0 x15: 0010533c93f64f80 x14: 0010395c9faa3946 x13: 0000000000000000 x12: 00000000fa83b2da x11: 000000012edeceea x10: ffff0000010fbe00 0000000000895440 x8: 000000000010533c x7: ffff00000ad8b740 x6: ffff00000c350880 x5 : 0000000000000007 x4 : 0000000000000001 x3 : 0000000000000000 x2 : 0000000000000000 x1 : 0000000000000001 x0 : ffff00000ac0e0e8 Rastreo de llamadas: pin_lock_slowpath+0x58/0x2d0 ieee80211_tx+0x80/0x12c ieee80211_tx_pending+0x110/0x278 tasklet_action_common.constprop.0+0x10c/0x144 tasklet_action+0x20/0x28 _stext +0x11c/0x284 ____do_softirq+0xc/0x14 call_on_irq_stack+0x24/0x34 do_softirq_own_stack+0x18/0x20 do_softirq+0x74/0x7c __local_bh_enable_ip+0xa0/0xa4 _ieee80211_wake_txqs+0x3b0 /0x4b8 __ieee80211_wake_queue+0x12c/0x168 ieee80211_add_pending_skbs+0xec/0x138 ieee80211_sta_ps_deliver_wakeup+0x2a4/0x480 ieee80211_mps_sta_status_update .part.0+0xd8/0x11c ieee80211_mps_sta_status_update+0x18/0x24 sta_apply_parameters+0x3bc/0x4c0 ieee80211_change_station+0x1b8/0x2dc nl80211_set_station+0x444/0x49c genl_family_rcv_ms g_doit.isra.0+0xa4/0xfc genl_rcv_msg+0x1b0/0x244 netlink_rcv_skb+0x38/0x10c genl_rcv+0x34 /0x48 netlink_unicast+0x254/0x2bc netlink_sendmsg+0x190/0x3b4 ____sys_sendmsg+0x1e8/0x218 ___sys_sendmsg+0x68/0x8c __sys_sendmsg+0x44/0x84 __arm64_sys_sendmsg+0x 20/0x28 do_el0_svc+0x6c/0xe8 el0_svc+0x14/0x48 el0t_64_sync_handler+0xb0/0xb4 el0t_64_sync+0x14c /0x150 El uso de spin_lock_bh()/spin_unlock_bh() en su lugar evita que softirq se active en la misma CPU que mantiene el bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cachefiles: difiere la exposición de anon_fd hasta que copy_to_user() tenga éxito. Después de instalar el fd anónimo, ahora podemos verlo en el área de usuario y cerrarlo. Sin embargo, en este punto es posible que no hayamos obtenido el recuento de referencias del caché, pero lo colocaremos durante colse fd, por lo que esto puede causar un UAF de caché. Así que tome el recuento de referencias de caché antes de fd_install(). Además, según la convención del kernel, el usuario se hace cargo de fd después de fd_install(), y el kernel no debe llamar a close_fd() después de eso, es decir, debe llamar a fd_install() después de que todo esté listo, por lo que fd_install() es llamado después de que copy_to_user() tenga éxito.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: mm/huge_memory: no desvenenes a huge_zero_folio Cuando hice pruebas de falla de memoria recientemente, se produjo el siguiente pánico: ¡ERROR del kernel en include/linux/mm.h:1135! código de operación no válido: 0000 [#1] PREEMPT SMP NOPTI CPU: 9 PID: 137 Comm: kswapd1 No está contaminado 6.9.0-rc4-00491-gd5ce28f156fe-dirty #14 RIP: 0010:shrink_huge_zero_page_scan+0x168/0x1a0 RSP: 0018:ffff 9933c6c57bd0 EFLAGS : 00000246 RAX: 000000000000003e RBX: 0000000000000000 RCX: ffff88f61fc5c9c8 RDX: 0000000000000000 RSI: 0000000000000027 RDI: 5c9c0 RBP: ffffcd7c446b0000 R08: ffffffff9a9405f0 R09: 0000000000005492 R10: 00000000000030ea R11: ffffffff9a9405f0 R12: 000000000000000000000 000000000000000 R14: 0000000000000000 R15: ffff88e703c4ac00 FS: 0000000000000000 (0000) GS:ffff88f61fc40000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000055f4da6e9878 CR3: 048000 CR4: 00000000000006f0 Seguimiento de llamadas: do_shrink_slab+0x14f/0x6a0 Shrink_slab+0xca/0x8c0 Shrink_node +0x2d0/0x7d0 balance_pgdat+0x33a/0x720 kswapd+0x1f3/0x410 kthread+0xd5/0x100 ret_from_fork+0x2f/0x50 ret_from_fork_asm+0x1a/0x30 Módulos vinculados en: mce_inject hwpoison_inject ---[ traza final 0000000000000000 ]--- RIP: 0010:shrink_huge_zero_page_scan+0x168/0x1a0 RSP: 0018:ffff9933c6c57bd0 EFLAGS: 00000246 RAX: 000000000000003e RBX: 0000000000000000 RCX: ffff88f61 fc5c9c8 RDX: 0000000000000000 RSI: 00000000000000027 RDI: ffff88f61fc5c9c0 RBP: ffffcd7c446b0000 R08: ffffffff9a9405f0 R09: 00000000000005492 : 00000000000030ea R11: ffffffff9a9405f0 R12: 0000000000000000 R13: 0000000000000000 R14: 0000000000000000 R15: ffff88e703c4ac00 FS: 0000000000000000(0000) GS:ffff88f61fc40000 (0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 000055f4da6e9878 CR3: 0000000c71048000 CR4: 0000000000000 6f0 La raíz La causa es que el indicador HWPoison se establecerá para Huge_zero_folio sin aumentar la referencia del folio. Pero luego unpoison_memory() disminuirá el refcnt del folio inesperadamente, ya que aparece como un folio envenenado exitosamente que conduce a VM_BUG_ON_PAGE(page_ref_count(page) == 0) al liberar huge_zero_folio. Omita la eliminación de veneno de huge_zero_folio en unpoison_memory() para solucionar este problema. Aún no estamos preparados para desvenenar a Huge_zero_folio.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: riscv: reescribe __kernel_map_pages() para arreglar el modo de dormir en un contexto no válido. __kernel_map_pages() es una función de depuración que borra el bit válido en la entrada de la tabla de páginas para páginas designadas para detectar accesos ilegales a la memoria de las páginas liberadas. Esta función establece/borra el bit válido usando __set_memory(). __set_memory() adquiere el semáforo de init_mm y esta operación puede suspenderse. Esto es problemático, porque __kernel_map_pages() se puede llamar en un contexto atómico y, por lo tanto, es ilegal dormir. Un ejemplo de advertencia de que esto causa: ERROR: función inactiva llamada desde un contexto no válido en kernel/locking/rwsem.c:1578 in_atomic(): 1, irqs_disabled(): 0, non_block: 0, pid: 2, nombre: kthreadd preempt_count: 2, esperado: 0 CPU: 0 PID: 2 Comm: kthreadd No contaminado 6.9.0-g1d4c6d784ef6 #37 Nombre de hardware: riscv-virtio,qemu (DT) Seguimiento de llamadas: [] dump_backtrace+0x1c/0x24 [] show_stack+0x2c/0x38 [] dump_stack_lvl+0x5a/0x72 [] dump_stack+0x14/0x1c [] __might_resched+0x104/0x10e [] __might_sleep+0x3e/0x62 [] down_write+0x20/0x72 [] __set_memory+0x82/0x2fa [] __kernel_map_pages+0x5a/0xd4 [] __alloc_pages_bulk+0x3b2/0x43a [] __vmalloc_node_range+0x196/0x6ba [] copy_process+0x72c/0x17ec [] kernel_clone+0x60/0x2fe [] kernel_thread+0x82/0xa0 [] kthreadd+0x14a/0x1be [] _from_fork+0xe/0x1c Reescribe esta función con apply_to_existing_page_range(). Está bien no tener ningún bloqueo, porque __kernel_map_pages() funciona con páginas que se asignan/desasignan y, mientras tanto, nadie más cambia esas páginas.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/exynos: hdmi: informa el modo seguro 640x480 como respaldo cuando no se encuentra EDID Cuando falla la lectura de EDID y el controlador informa que no hay modos disponibles, el núcleo DRM agrega un modo artificial de 1024x786 al conector. Desafortunadamente, algunas variantes del Exynos HDMI (como la de los SoC Exynos4) no pueden controlar dicho modo, por lo que informa un modo seguro de 640x480 en lugar de nada en caso de falla en la lectura de EDID. Esto soluciona el siguiente problema observado en la placa Trats2 desde El commit 13d5b040363c ("drm/exynos: no devuelve valores negativos de .get_modes()"): [drm] Exynos DRM: uso del dispositivo 11c00000.fimd para operaciones de mapeo DMA exynos-drm exynos -drm: enlazado 11c00000.fimd (ops fimd_component_ops) exynos-drm exynos-drm: enlazado 12c10000.mixer (ops Mixer_component_ops) exynos-dsi 11c80000.dsi: [drm:samsung_dsim_host_attach] Dispositivo s6e8aa0 adjunto (carriles:4 bpp:24 modo- flags:0x10b) exynos-drm exynos-drm: enlazado 11c80000.dsi (ops exynos_dsi_component_ops) exynos-drm exynos-drm: enlazado 12d00000.hdmi (ops hdmi_component_ops) [drm] Inicializado exynos 1.1.0 20180330 para exynos-drm en menor 1 exynos-hdmi 12d00000.hdmi: [drm:hdmiphy_enable.part.0] *ERROR* PLL no pudo alcanzar el estado estable panel-samsung-s6e8aa0 11c80000.dsi.0: ID: 0xa2, 0x20, 0x8c exynos-mixer 12c10000.mixer: tiempo de espera de espera para VSYNC ------------[ cortar aquí ]------------ ADVERTENCIA: CPU: 1 PID: 11 en drivers/gpu/drm/drm_atomic_helper.c :1682 drm_atomic_helper_wait_for_vblanks.part.0+0x2b0/0x2b8 [CRTC:70:crtc-1] Se agotó el tiempo de espera de vblank Módulos vinculados en: CPU: 1 PID: 11 Comm: kworker/u16:0 No contaminado 6.9.0-rc5-next -20240424 #14913 Nombre de hardware: Samsung Exynos (árbol de dispositivos aplanados) Cola de trabajo: events_unbound deferred_probe_work_func Rastreo de llamadas: unwind_backtrace de show_stack+0x10/0x14 show_stack de dump_stack_lvl+0x68/0x88 dump_stack_lvl de __warn+0x7c/0x1c4 de warn_slowpath_fmt+0x11c/0x1a8 warn_slowpath_fmt de drm_atomic_helper_wait_for_vblanks.part.0+0x2b0/0x2b8 drm_atomic_helper_wait_for_vblanks.part.0 de drm_atomic_helper_commit_tail_rpm+0x7c/0x8c drm_atomic_helper_commit_tail_rpm de commit_tail+0x9c/0x184 commit_tail de drm_atomic_helper _commit+0x168/0x190 drm_atomic_helper_commit de drm_atomic_commit+0xb4/0xe0 drm_atomic_commit de drm_client_modeset_commit_atomic+0x23c/0x27c drm_client_modeset_commit_atomic de drm_client_modeset_commit_locked+0x60/0x1cc drm_client_modeset_commit_locked de drm_client_modeset_commit+0x24/0x40 drm_client_modeset_commit de __drm_fb_helper_restore_fbdev_mode_unlocked+0x9c/0xc4 restaurar_fbdev_mode_unlocked de drm_fb_helper_set_par+0x2c/0x3c drm_fb_helper_set_par de fbcon_init+0x3d8/0x550 fbcon_init de visual_init+0xc0/0x108 visual_init de do_bind_con_driver+0x1b8/0x3a4 r de do_take_over_console+0x140/0x1ec do_take_over_console de do_fbcon_takeover+0x70/0xd0 do_fbcon_takeover de fbcon_fb_registered+0x19c/0x1ac fbcon_fb_registered de Register_framebuffer+0x190/0x21c Register_framebuffer de __drm_fb_helper_initial _config_and_unlock+0x350/0x574 __drm_fb_helper_initial_config_and_unlock de exynos_drm_fbdev_client_hotplug+0x6c/0xb0 exynos_drm_fbdev_client_hotplug de drm_client_register+0x58/0x94 drm_client_register de exynos_drm_bind +0x160/0x190 exynos_drm_bind de try_to_bring_up_aggregate_device+0x200/0x2d8 try_to_bring_up_aggregate_device de __component_add+0xb0/0x170 __component_add de Mixer_probe+0x74/0xcc Mixer_probe de platform_probe+0x5c/0x b8 platform_probe de Actually_probe+0xe0/0x3d8realmente_probe de __driver_probe_device+0x9c/0x1e4 __driver_probe_device de driver_probe_device+ 0x30/0xc0 driver_probe_device de __device_attach_driver+0xa8/0x120 __device_attach_driver de bus_for_each_drv+0x80/0xcc bus_for_each_drv de __device_attach+0xac/0x1fc __device_attach de bus_probe_device+0x8c/0x90 _dispositivo de diferido_probe_work_func+0 ---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bnxt_en: Ajusta el registro de mensajes de firmware en caso de token liberado en __hwrm_send() En caso de que el token se libere debido al token->estado == BNXT_HWRM_DEFERRED, token liberado (establecido en NULL ) se utiliza en mensajes de registro. Se espera que este problema se evite mediante el código de error HWRM_ERR_CODE_PF_UNAVAILABLE. Pero este código de error lo devuelve un firmware reciente. Por lo tanto, es posible que algunos firmware no lo devuelvan. Esto puede provocar una desreferencia del puntero NULL. Ajuste este problema agregando una verificación del puntero del token. Encontrado por el Centro de verificación de Linux (linuxtesting.org) con SVACE.