Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: USB: core: corrige el error de endpoint duplicado borrando los bits reservados en el descriptor Syzbot ha identificado un error en usbcore (consulte la etiqueta Closes: a continuación) causado por nuestra suposición de que los bits reservados en el campo bEndpointAddress de un descriptor de endpoint siempre será 0. Como resultado del error, la rutina endpoint_is_duplicate() en config.c (y posiblemente también otras rutinas) puede creer que dos descriptores son para endpoints distintos, aunque tengan la misma dirección y número de endpoint. Esto puede generar confusión, incluido el error identificado por syzbot (dos descriptores con direcciones y números de endpoint coincidentes, donde uno era de interrupción y el otro era masivo). Para corregir el error, borraremos los bits reservados en bEndpointAddress cuando analicemos el descriptor. (Tenga en cuenta que las especificaciones de USB-2.0 y USB-3.1 dicen que estos bits están "Reservados, restablecidos a cero"). Esto requiere que hagamos una copia del descriptor anteriormente en usb_parse_endpoint() y usemos la copia en lugar del original cuando buscando duplicados.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: ks8851: Se corrige el interbloqueo con la variante del chip SPI Cuando SMP está habilitado y los spinlocks son realmente funcionales, entonces hay un interbloqueo con el spinlock 'statelock' entre ks8851_start_xmit_spi y ks8851_irq: watchdog: ERROR: bloqueo suave: ¡CPU n.° 0 se atascó durante 27 segundos! seguimiento de llamadas: queued_spin_lock_slowpath+0x100/0x284 do_raw_spin_lock+0x34/0x44 ks8851_start_xmit_spi+0x30/0xb8 ks8851_start_xmit+0x14/0x20 netdev_start_xmit+0x40/0x6c 0xbc sch_direct_xmit+0xa4/0x22c __qdisc_run+0x138/0x3fc qdisc_run+0x24/0x3c net_tx_action+ 0xf8/0x130 handle_softirqs+0x1ac/0x1f0 __do_softirq+0x14/0x20 ____do_softirq+0x10/0x1c call_on_irq_stack+0x3c/0x58 do_softirq_own_stack+0x1c/0x28 __irq_exit_rcu+0x54/0x9c _exit_rcu+0x10/0x1c el1_interrupt+0x38/0x50 el1h_64_irq_handler+0x18/0x24 el1h_64_irq+ 0x64/0x68 __netif_schedule+0x6c/0x80 netif_tx_wake_queue+0x38/0x48 ks8851_irq+0xb8/0x2c8 irq_thread_fn+0x2c/0x74 irq_thread+0x10c/0x1b0 kthread+0xc8/0xd8 k+0x10/0x20 Este problema no se identificó anteriormente porque se realizaron pruebas en un dispositivo con SMP deshabilitado y, por lo tanto, los spinlocks eran en realidad NOP. Ahora use spin_(un)lock_bh para el bloqueo relacionado con la cola TX para evitar la ejecución del trabajo de softirq de forma sincrónica que conduciría a un punto muerto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: firmware: cs_dsp: evita la saturación de búfer al procesar encabezados de alg V2. Verifique que todos los campos de un encabezado de algoritmo V2 encajen en el búfer de datos del firmware disponible. El formato wmfw V2 introdujo cadenas de longitud variable en el encabezado del bloque del algoritmo. Esto significa que la longitud total del encabezado es variable y la posición de la mayoría de los campos varía según la longitud de los campos de cadena. Se debe verificar cada campo para garantizar que no desborde el búfer de datos del firmware. Como se trata de un parche de corrección de errores, las correcciones evitan realizar cambios significativos en el código existente. Esto hace que sea más fácil de revisar y menos probable que se introduzcan nuevos errores.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: firmware: cs_dsp: corrige la verificación de desbordamiento del encabezado wmfw. Se corrige la verificación de que el búfer del archivo de firmware sea lo suficientemente grande para el encabezado wmfw, para evitar que se sobrecargue el búfer. El código original probó que el búfer de datos del firmware contenía suficientes bytes para las sumas del tamaño de las estructuras wmfw_header + wmfw_adsp1_sizes + wmfw_footer. Pero wmfw_adsp1_sizes solo se usa en el firmware ADSP1. Para ADSP2 y Halo Core, la estructura equivalente es wmfw_adsp2_sizes, que es 4 bytes más larga. Por lo tanto, la verificación de longitud no garantiza que haya suficientes bytes en el búfer del firmware para un encabezado con wmfw_adsp2_sizes. Este parche divide el control de longitud en tres partes separadas. Cada uno de los wmfw_header, wmfw_adsp?_sizes y wmfw_footer se verifican por separado antes de usarse.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: net/sched: Reparar UAF al resolver un conflicto KASAN reporta el siguiente UAF: ERROR: KASAN: slab-use-after-free en tcf_ct_flow_table_process_conn+0x12b/0x380 [act_ct] Lectura de tamaño 1 en la dirección ffff888c07603600 por el controlador de tareas 130/6469 Seguimiento de llamadas: dump_stack_lvl+0x48/0x70 print_address_description.constprop.0+0x33/0x3d0 print_report+0xc0/0x2b0 kasan_report+0xd0/0x120 __asan_load1+0x 6c/0x80 tcf_ct_flow_table_process_conn+0x12b/0x380 [act_ct] tcf_ct_act+0x886/0x1350 [act_ct] tcf_action_exec+0xf8/0x1f0 fl_classify+0x355/0x360 [cls_flower] __tcf_classify+0x1fd/0x330 tcf_classify+0x21c/0x3c0 sch_handle_ingress.constprop.0+0x 2c5/0x500 __netif_receive_skb_core.constprop.0+0xb25 /0x1510 __netif_receive_skb_list_core+0x220/0x4c0 netif_receive_skb_list_internal+0x446/0x620 napi_complete_done+0x157/0x3d0 gro_cell_poll+0xcf/0x100 __napi_poll+0x65/0x310 net_rx_action+0x30 c/0x5c0 __do_softirq+0x14f/0x491 __irq_exit_rcu+0x82/0xc0 irq_exit_rcu+0xe/0x20 common_interrupt+0xa1 /0xb0 asm_common_interrupt+0x27/0x40 Asignado por la tarea 6469: kasan_save_stack+0x38/0x70 kasan_set_track+0x25/0x40 kasan_save_alloc_info+0x1e/0x40 __kasan_krealloc+0x133/0x190 a/0x130 nf_ct_ext_add+0xed/0x230 [ nf_conntrack] tcf_ct_act+0x1095/0x1350 [act_ct] tcf_action_exec+0xf8/0x1f0 fl_classify+0x355/0x360 [cls_flower] __tcf_classify+0x1fd/0x330 tcf_classify+0x21c/0x3c0 sch_handle_ingress.constprop. 0+0x2c5/0x500 __netif_receive_skb_core.constprop.0+0xb25/ 0x1510 __netif_receive_skb_list_core+0x220/0x4c0 netif_receive_skb_list_internal+0x446/0x620 napi_complete_done+0x157/0x3d0 gro_cell_poll+0xcf/0x100 __napi_poll+0x65/0x310 net_rx_action+0x30 c/0x5c0 __do_softirq+0x14f/0x491 Liberado por la tarea 6469: kasan_save_stack+0x38/0x70 kasan_set_track+0x25/ 0x40 kasan_save_free_info+0x2b/0x60 ____kasan_slab_free+0x180/0x1f0 __kasan_slab_free+0x12/0x30 slab_free_freelist_hook+0xd2/0x1a0 __kmem_cache_free+0x1a2/0x2f0 kfree+0x78/0x120 conntrack_free+0x74/0x130 [nf_conntrack] nf_ct_destroy+0xb2/0x140 [nf_conntrack] __nf_ct_resolve_clash+0x529 /0x5d0 [nf_conntrack] nf_ct_resolve_clash+0xf6/0x490 [nf_conntrack] __nf_conntrack_confirm+0x2c6/0x770 [nf_conntrack] tcf_ct_act+0x12ad/0x1350 [act_ct] tcf_action_exec+0xf8/0x1f0 x355/0x360 [cls_flower] __tcf_classify+0x1fd/0x330 tcf_classify+0x21c /0x3c0 sch_handle_ingress.constprop.0+0x2c5/0x500 __netif_receive_skb_core.constprop.0+0xb25/0x1510 __netif_receive_skb_list_core+0x220/0x4c0 netif_receive_skb_list_internal+0x446/0x620 napi_complete_ done+0x157/0x3d0 gro_cell_poll+0xcf/0x100 __napi_poll+0x65/0x310 net_rx_action+0x30c/0x5c0 __do_softirq+0x14f/0x491 El ct se puede descartar si se resolvió un conflicto pero aún se pasa a la función tcf_ct_flow_table_process_conn para su uso posterior. Este problema se puede solucionar recuperando ct de skb nuevamente después de confirmar conntrack.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: udp: configure SOCK_RCU_FREE anteriormente en udp_lib_get_port(). syzkaller activó la advertencia [0] en udp_v4_early_demux(). En udp_v[46]_early_demux() y sk_lookup(), no tocamos el recuento del sk buscado y usamos sock_pfree() como skb->destructor, por lo que verificamos SOCK_RCU_FREE para asegurarnos de que sea seguro acceder al sk durante el período de gracia de la UCR. Actualmente, SOCK_RCU_FREE está marcado para un socket vinculado después de colocarlo en la tabla hash. Además, la comprobación SOCK_RCU_FREE se realiza demasiado pronto en udp_v[46]_early_demux() y sk_lookup(), por lo que podría haber una pequeña ventana de ejecución: CPU1 CPU2 ---- ---- udp_v4_early_demux() udp_lib_get_port() | |- hlist_add_head_rcu() |- sk = __udp4_lib_demux_lookup() | |- DEBUG_NET_WARN_ON_ONCE(sk_is_refcounted(sk)); `- sock_set_flag(sk, SOCK_RCU_FREE) Tuvimos el mismo error en TCP y lo solucionamos en la confirmación 871019b22d1b ("net: configure SOCK_RCU_FREE antes de insertar el socket en la tabla hash"). Apliquemos la misma solución para UDP. [0]: ADVERTENCIA: CPU: 0 PID: 11198 en net/ipv4/udp.c:2599 udp_v4_early_demux+0x481/0xb70 net/ipv4/udp.c:2599 Módulos vinculados en: CPU: 0 PID: 11198 Comm: syz- ejecutor.1 No contaminado 6.9.0-g93bda33046e7 #13 Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS rel-1.16.0-0-gd239552ce722-prebuilt.qemu.org 01/04/2014 RIP: 0010 :udp_v4_early_demux+0x481/0xb70 net/ipv4/udp.c:2599 Código: c5 7a 15 fe bb 01 00 00 00 44 89 e9 31 ff d3 e3 81 e3 bf ef ff ff 89 de e8 2c 74 15 fe 85 db 0f 85 02 06 00 00 e8 9f 7a 15 fe <0f> 0b e8 98 7a 15 fe 49 8d 7e 60 e8 4f 39 2f fe 49 c7 46 60 20 52 RSP: 0018:ffffc9000ce3fa58 EFLAGS: 00010293 RAX: 0000000000000000 RBX: 0000000000000000 RCX: ffffffff8318c92c RDX: ffff888036ccde00 RSI: ffffffff8318c2f1 RDI: 0000000000000001 RBP: ffff88805a2dd6e0 R08: 0000000000000001 R09: 0000000000000000 R10: 0000000000 R11: 0001ffffffffffff R12: ffff88805a2dd680 R13: 0000000000000007 R14: ffff88800923f900 R15: ffff88805456004e FS: 00007fc449127640(0 000) GS:ffff88807dc00000(0000) knlGS: 0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00007fc449126e38 CR3: 000000003de4b002 CR4: 0000000000770ef0 DR0: 0000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000600 PKRU: 55555554 Llamar Seguimiento: ip_rcv_finish_core .constprop.0+0xbdd/0xd20 net/ipv4/ip_input.c:349 ip_rcv_finish+0xda/0x150 net/ipv4/ip_input.c:447 NF_HOOK include/linux/netfilter.h:314 [en línea] NF_HOOK include/linux/netfilter .h:308 [en línea] ip_rcv+0x16c/0x180 net/ipv4/ip_input.c:569 __netif_receive_skb_one_core+0xb3/0xe0 net/core/dev.c:5624 __netif_receive_skb+0x21/0xd0 net/core/dev.c:5738 skb_internal net/core/dev.c:5824 [en línea] netif_receive_skb+0x271/0x300 net/core/dev.c:5884 tun_rx_batched drivers/net/tun.c:1549 [en línea] tun_get_user+0x24db/0x2c50 drivers/net/tun. c:2002 tun_chr_write_iter+0x107/0x1a0 drivers/net/tun.c:2048 new_sync_write fs/read_write.c:497 [en línea] vfs_write+0x76f/0x8d0 fs/read_write.c:590 ksys_write+0xbf/0x190 fs/read_write.c : 643 __do_sys_write fs/read_write.c: 655 [en línea] __se_sys_write fs/read_write.c: 652 [inline] __x64_sys_write+0x41/0x50 fs/read_write.c: 652 x64_sy m /syscalls_64.h:2 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0x4b/0x110 arch/x86/entry/common.c:83 Entry_SYSCALL_64_after_hwframe+0x4b/0x53 RIP: 0x7fc44a68bc Código 1f: 89 54 24 18 48 89 74 24 10 89 7c 24 08 e8 e9 cf f5 ff 48 8b 54 24 18 48 8b 74 24 10 41 89 c0 8b 7c 24 08 b8 01 00 00 00 0f 05 3d 00 f0 ff ff 77 31 44 89 c7 48 89 44 24 08 e8 3c d0 f5 ff 48 RSP: 002b:00007fc449126c90 EFLAGS: 00000293 ORIG_RAX: 0000000000000001 RAX: ffffffffffffffda RBX: 0000004bc050 RCX: 00007fc44a68bc1f R ---truncado---

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: netfilter: nf_tables: prefiere nft_chain_validate nft_chain_validate ya realiza detección de bucle porque un ciclo resultará en un desbordamiento de la pila de llamadas (ctx->level >= NFT_JUMP_STACK_SIZE). También sigue los mapas a través de ->validate callback en nft_lookup, por lo que no parece haber razón para iterar los mapas nuevamente. nf_tables_check_loops() y todas sus funciones auxiliares se pueden eliminar. Esto mejora significativamente el tiempo de carga del conjunto de reglas, de 23 a 12 segundos. Esto también corrige un error de bloqueo. El código de detección de bucle antiguo puede provocar una recursividad ilimitada: ERROR: La página de protección de pila de TAREA fue visitada en... Vaya: página de protección de pila: 0000 [#1] PREEMPT SMP KASAN CPU: 4 PID: 1539 Comm: nft No contaminado 6.10. 0-rc5+ #1 [..] con un conjunto de reglas adecuado durante la validación de los almacenes de registros. No veo ninguna razón real para intentar verificar esto desde nft_validate_register_store(); en este punto, la transacción aún está en progreso, por lo que no tenemos una imagen completa del gráfico de reglas. Para nf-next, podría tener sentido eliminarlo o hacer que esto dependa de table->validate_state en caso de que podamos detectar un error antes (para mejorar el informe de errores al espacio de usuario).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ppp: rechazar paquetes reclamados como LCP pero en realidad con formato incorrecto Dado que 'ppp_async_encode()' asume paquetes LCP válidos (con código del 1 al 7 inclusive), agregue 'ppp_check_packet()' para garantizar que el paquete LCP tenga un cuerpo real más allá de los bytes del encabezado PPP_LCP y, de lo contrario, rechace los datos reclamados como LCP pero en realidad con formato incorrecto.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: net: ethernet: lantiq_etop: fix double free in detach El número del descriptor publicado actualmente nunca se incrementa, lo que da como resultado que el mismo skb se publique varias veces.

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: sched/deadline: Reparar fuga de referencia de task_struct Durante la ejecución de la siguiente prueba de estrés con linux-rt: estrés-ng --ciclic 30 --timeout 30 --minimize --quiet kmemleak informó con frecuencia una pérdida de memoria relacionada con task_struct: objeto sin referencia 0xffff8881305b8000 (tamaño 16136): comm "stress-ng", pid 614, jiffies 4294883961 (edad 286.412 s) volcado hexadecimal de objeto (primeros 32 bytes): 02 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 .@.............. 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........ volcado hexadecimal de depuración (primeros 16 bytes): 53 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 S............... rastreo inverso : [<00000000046b6790>] dup_task_struct+0x30/0x540 [<00000000c5ca0f0b>] copy_process+0x3d9/0x50e0 [<00000000ced59777>] kernel_clone+0xb0/0x770 [<00000000a50befd c>] __do_sys_clone+0xb6/0xf0 [<000000001dbf2008>] do_syscall_64+0x5d/ 0xf0 [<00000000552900ff>] Entry_SYSCALL_64_after_hwframe+0x6e/0x76 El problema ocurre en start_dl_timer(), que incrementa el recuento de referencias de task_struct y establece un temporizador. Se supone que la devolución de llamada del temporizador, dl_task_timer, disminuye el recuento de referencia al expirar. Sin embargo, si se llama a enqueue_task_dl() antes de que expire el temporizador y lo cancela, el recuento de referencias no disminuye, lo que provoca la fuga. Este parche corrige la fuga de referencia al garantizar que el recuento de referencias de task_struct disminuya correctamente cuando se cancela el temporizador.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: restringe la aplicación que no es de confianza para que se conecte a un PD privilegiado. La aplicación que no es de confianza con acceso únicamente al nodo de dispositivo fastrpc no seguro puede conectarse a root_pd o a PD estáticos si puede realizar el inicio respectivo. pedido. Esto puede causar problemas ya que la aplicación que no es de confianza puede enviar solicitudes incorrectas a root_pd o PD estáticos. Agregue cambios para rechazar la conexión a PD privilegiados si la solicitud se realiza mediante un nodo de dispositivo fastrpc no seguro.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: corrige la pérdida de memoria en la operación de conexión del daemon de audio. El daemon PD de audio envía el nombre como parte de la llamada init IOCTL. Este nombre debe copiarse en el kernel para el que se asigna la memoria. Esta memoria nunca se libera, lo que podría provocar una pérdida de memoria. Libera la memoria cuando no sea necesaria.