Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: nsh: restaurar skb->{protocol,data,mac_header} para el encabezado externo en nsh_gso_segment(). syzbot activó varios símbolos (ver [0] y enlaces) mediante un paquete GSO manipulado de VIRTIO_NET_HDR_GSO_UDP que superpone los siguientes protocolos: ETH_P_8021AD + ETH_P_NSH + ETH_P_IPV6 + IPPROTO_UDP NSH puede encapsular IPv4, IPv6, Ethernet, NSH y MPLS. Como el protocolo interno puede ser Ethernet, el controlador NSH GSO, nsh_gso_segment(), llama a skb_mac_gso_segment() para invocar los controladores GSO del protocolo interno. nsh_gso_segment() hace lo siguiente para el skb original antes de llamar a skb_mac_gso_segment() 1. restablecer skb->network_header 2. guardar el skb->{mac_heaeder,mac_len} original en una variable local 3. extraer el encabezado NSH 4. restablece skb- >mac_header 5. Configure skb->mac_len y skb->protocol para el protocolo interno. y hace lo siguiente para el skb segmentado 6. configurar ntohs(ETH_P_NSH) en skb->protocol 7. empujar el encabezado NSH 8. restaurar skb->mac_header 9. configurar skb->mac_header + mac_len en skb->network_header 10. restaurar skb->mac_len Hay dos problemas en 6-7 y 8-9. (a) Después de 6 y 7, skb->data apunta al encabezado NSH, por lo que el encabezado externo (ETH_P_8021AD en este caso) se elimina cuando skb se envía fuera de netdev. Además, si NSH está encapsulado por NSH + Ethernet (es decir, NSH-Ethernet-NSH), skb_pull() en el primer nsh_gso_segment() hará que skb->data apunte al medio del encabezado NSH o Ethernet externo porque el encabezado Ethernet es no arrastrado por el segundo nsh_gso_segment(). (b) Al restaurar skb->{mac_header,network_header} en 8 y 9, nsh_gso_segment() no supone que los datos en el búfer lineal se hayan desplazado. Sin embargo, udp6_ufo_fragment() podría cambiar los datos y cambiar skb->mac_header en consecuencia, como lo demuestra syzbot. Si esto sucede, incluso el skb->mac_header restaurado apunta al centro del encabezado externo. Parece que nsh_gso_segment() nunca ha funcionado con encabezados externos hasta ahora. Al final de nsh_gso_segment(), se debe restaurar el encabezado externo para el skb segmentado, en lugar del encabezado NSH. Para hacer eso, calculemos la posición del encabezado externo relativamente desde el encabezado interno y configuremos skb->{data,mac_header,protocol} correctamente. [0]: ERROR: KMSAN: valor uninit en ipvlan_process_outbound drivers/net/ipvlan/ipvlan_core.c:524 [en línea] ERROR: KMSAN: valor uninit en ipvlan_xmit_mode_l3 drivers/net/ipvlan/ipvlan_core.c:602 [en línea] ERROR: KMSAN: valor uninit en ipvlan_queue_xmit+0xf44/0x16b0 drivers/net/ipvlan/ipvlan_core.c:668 ipvlan_process_outbound drivers/net/ipvlan/ipvlan_core.c:524 [en línea] ipvlan_xmit_mode_l3 drivers/net/ipvlan/ipvlan_core.c: 602 [en línea] ipvlan_queue_xmit+0xf44/0x16b0 drivers/net/ipvlan/ipvlan_core.c:668 ipvlan_start_xmit+0x5c/0x1a0 drivers/net/ipvlan/ipvlan_main.c:222 __netdev_start_xmit include/linux/netdevice.h:4989 [en línea] _xmitir include/linux/netdevice.h:5003 [en línea] xmit_one net/core/dev.c:3547 [en línea] dev_hard_start_xmit+0x244/0xa10 net/core/dev.c:3563 __dev_queue_xmit+0x33ed/0x51c0 net/core/dev. c:4351 dev_queue_xmit include/linux/netdevice.h:3171 [en línea] paquete_xmit+0x9c/0x6b0 net/packet/af_packet.c:276 paquete_snd net/packet/af_packet.c:3081 [en línea] paquete_sendmsg+0x8aef/0x9f10 net/ paquete/af_packet.c:3113 sock_sendmsg_nosec net/socket.c:730 [en línea] __sock_sendmsg net/socket.c:745 [en línea] __sys_sendto+0x735/0xa10 net/socket.c:2191 __do_sys_sendto net/socket.c:2203 [ en línea] __se_sys_sendto net/socket.c:2199 [en línea] __x64_sys_sendto+0x125/0x1c0 net/socket.c:2199 do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xcf/0x1e0 arch/x86/entry /common.c:83 Entry_SYSCALL_64_after_hwframe+0x63/0x6b Uninit se creó en: slab_post_alloc_hook mm/slub.c:3819 [en línea] slab_alloc_node mm/slub.c:3860 [en línea] __do_kmalloc_node mm/slub.c:3980---truncado---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bna: asegúrese de que el buf copiado tenga terminación NUL. Actualmente, asignamos un búfer del kernel de tamaño nbytes y copiamos nbytes del espacio de usuario a ese búfer. Más adelante, usamos sscanf en este búfer pero no nos aseguramos de que la cadena termine dentro del búfer, esto puede provocar una lectura OOB cuando usamos sscanf. Solucione este problema utilizando memdup_user_nul en lugar de memdup_user.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bloque: corrige el desbordamiento en blk_ioctl_discard() No hay verificación de desbordamiento de 'start + len' en blk_ioctl_discard(). La tarea bloqueada ocurre si envía un ioctl de descarte con el siguiente parámetro: start = 0x80000000000ff000, len = 0x8000000000fff000; Agregue la validación de desbordamiento ahora.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: bpf: Verificar el tamaño del valor del mapa del filtro de floración. Este parche agrega una verificación faltante para la creación del filtro de floración, rechazando valores superiores a KMALLOC_MAX_SIZE. Esto alinea el mapa de floración con muchos otros tipos de mapas. La falta de esta protección puede provocar fallas del kernel para tamaños de valores que desbordan los de int. Syzkaller captó tal accidente. El siguiente parche agrega más barandillas en un nivel inferior.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: mpi3mr: evitar escritura de extensión de campos de memcpy ADVERTENCIA Cuando se ejecuta el comando "storcli2 show" para eHBA-9600, el controlador mpi3mr imprime este mensaje de ADVERTENCIA: memcpy: extensión de campos detectada escriba (tamaño 128) de un solo campo "bsg_reply_buf->reply_buf" en drivers/scsi/mpi3mr/mpi3mr_app.c:1658 (tamaño 1) ADVERTENCIA: CPU: 0 PID: 12760 en drivers/scsi/mpi3mr/mpi3mr_app.c:1658 mpi3mr_bsg_request+0x6b12/0x7f10 [mpi3mr] La causa de la ADVERTENCIA es 128 bytes de memoria en la matriz de tamaño de 1 byte "__u8 replay_buf[1]" en la estructura mpi3mr_bsg_in_reply_buf. La matriz está manipulada para ser una matriz de longitud flexible, por lo que WARN es un falso positivo. Para suprimir WARN, elimine el número constante '1' de la declaración de matriz y aclare que tiene una longitud flexible. Además, ajuste el tamaño de la asignación de memoria para que coincida con el cambio.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: wifi: iwlwifi: mvm: proteger contra ID de STA no válido al eliminarlo Proteger contra ID de estación no válidos en iwl_mvm_mld_rm_sta_id ya que eso daría como resultado accesos a la matriz fuera de los límites. Esto evita problemas en caso de que el controlador entre en mal estado durante el manejo de errores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: iwlwifi: leer txq->read_ptr bajo bloqueo Si leemos txq->read_ptr sin bloqueo, podemos leer el mismo valor dos veces, luego obtener el bloqueo y reclamar desde allí a dos lugares diferentes, pero fundamentalmente reclama la misma entrada dos veces, lo que resulta en WARN_ONCE() un poco más tarde. Solucione eso leyendo txq->read_ptr bajo bloqueo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: scsi: lpfc: Libere hbalock antes de llamar a lpfc_worker_wake_up() lpfc_worker_wake_up() llama a la rutina lpfc_work_done(), que toma el hbalock. Por lo tanto, no se debe llamar a lpfc_worker_wake_up() mientras se mantiene presionado el hbalock para evitar un posible punto muerto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: swiotlb: inicializa el grupo restringido list_head cuando SWIOTLB_DYNAMIC=y El uso de grupos DMA restringidos (CONFIG_DMA_RESTRICTED_POOL=y) junto con SWIOTLB dinámico (CONFIG_SWIOTLB_DYNAMIC=y) provoca el siguiente bloqueo al inicializar el grupo restringido grupos en el momento del arranque: | No se puede manejar la desreferencia del puntero NULL del kernel en la dirección virtual 0000000000000008 | Error interno: Ups: 0000000096000005 [#1] SMP ANTICIPADO | ordenador personal: rmem_swiotlb_device_init+0xfc/0x1ec | lr: rmem_swiotlb_device_init+0xf0/0x1ec | Rastreo de llamadas: | rmem_swiotlb_device_init+0xfc/0x1ec | of_reserved_mem_device_init_by_idx+0x18c/0x238 | of_dma_configure_id+0x31c/0x33c | platform_dma_configure+0x34/0x80 faddr2line revela que el bloqueo está en el código de validación de la lista: include/linux/list.h:83 include/linux/rculist.h:79 include/linux/rculist.h:106 kernel/dma/swiotlb. c:306 kernel/dma/swiotlb.c:1695 porque add_mem_pool() está intentando list_add_rcu() a un NULL 'mem->pools'. Solucione el problema inicializando el list_head 'mem->pools' en rmem_swiotlb_device_init() antes de llamar a add_mem_pool().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: powerpc/pseries/iommu: LPAR entra en pánico durante el arranque con un PE congelado En el momento del arranque de LPAR, el firmware de la partición proporciona la propiedad Open Firmware ibm,dma-window para el PE. Esta propiedad se proporciona en el bus PCI al que está conectado el PE. Hay excepciones en las que es posible que el firmware de la partición no proporcione esta propiedad para el PE en el momento del arranque de LPAR. Uno de los escenarios es donde el firmware ha congelado el PE debido a alguna condición de error. Este PE se congela durante 24 horas o a menos que se reinicialice todo el sistema. Dentro de este período de tiempo, si se inicia la LPAR, el PE congelado se presentará a la LPAR, pero es posible que falte la propiedad ibm,dma-window. Hoy en día, bajo estas circunstancias, la LPAR falla con la desreferencia del puntero NULL al configurar el bus PCI al que está conectado el PE. ERROR: Desreferencia del puntero NULL del kernel al leer en 0x000000c8 Dirección de instrucción errónea: 0xc0000000001024c0 Ups: Acceso al kernel del área defectuosa, firma: 7 [#1] LE PAGE_SIZE=64K MMU=Radix SMP NR_CPUS=2048 Módulos NUMA pSeries vinculados en: Compatible: Sí CPU: 0 PID: 1 Comunicaciones: swapper/0 No contaminado 6.4.0-150600.9-default #1 Nombre de hardware: IBM,9043-MRX POWER10 (sin procesar) 0x800200 0xf000006 de:IBM,FW1060.00 (NM1060_023) hv:phyp pSeries NIP: c0000000001024c0 LR: c0000000001024b0 CTR: c000000000102450 REGS: c0000000037db5c0 TRAP: 0300 No contaminado (6.4.0-150600.9-predeterminado) MSR: 800000000200 9033 CR: 28000822 XER : 00000000 CFAR: c00000000010254c DAR: 00000000000000c8 DSISR: 00080000 IRQMASK: 0 ... NIP [c0000000001024c0] pci_dma_bus_setup_pSeriesLP+0x70/0x2a0 LR [c0000 000001024b0] pci_dma_bus_setup_pSeriesLP+0x60/0x2a0 Seguimiento de llamadas: pci_dma_bus_setup_pSeriesLP+0x60/0x2a0 (no confiable) pcibios_setup_bus_self+0x1c0/ 0x370 __of_scan_bus+0x2f8/0x330 pcibios_scan_phb+0x280/0x3d0 pcibios_init+0x88/0x12c do_one_initcall+0x60/0x320 kernel_init_freeable+0x344/0x3e4 kernel_init+0x34/0x1d0 _usuario_thread+0x14/0x1c

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: fs/9p: corrige valores no inicializados durante el desalojo de inodo. Si un iget falla debido a que no puede recuperar información del servidor, entonces la estructura del inodo solo se inicializa parcialmente. Cuando se expulsa el inodo, se hacían referencias a estructuras no inicializadas (como cookies fscache). Este parche busca un bad_inode antes de hacer cualquier otra cosa que no sea borrar el inodo del caché. Dado que el inodo es malo, no debería tener ningún estado asociado que deba reescribirse (y realmente no hay una manera de completarlo de todos modos).

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: ipv4: corrigió el acceso de valor uninit en __ip_make_skb() KMSAN informó el acceso de valor uninit en __ip_make_skb() [1]. __ip_make_skb() prueba HDRINCL para saber si el skb tiene icmphdr. Sin embargo, HDRINCL puede provocar una condición de ejecución. Si llamar a setsockopt(2) con IP_HDRINCL cambia HDRINCL mientras se ejecuta __ip_make_skb(), la función accederá a icmphdr en el skb incluso si no está incluido. Esto provoca el problema informado por KMSAN. Verifique FLOWI_FLAG_KNOWN_NH en fl4->flowi4_flags en lugar de probar HDRINCL en el socket. Además, fl4->fl4_icmp_type y fl4->fl4_icmp_code no están inicializados. Estas son una unión en la estructura flowi4 y se inicializan implícitamente mediante flowi4_init_output(), pero no debemos confiar en un diseño de unión específico. Inicialícelos explícitamente en raw_sendmsg(). [1] ERROR: KMSAN: valor uninit en __ip_make_skb+0x2b74/0x2d20 net/ipv4/ip_output.c:1481 __ip_make_skb+0x2b74/0x2d20 net/ipv4/ip_output.c:1481 ip_finish_skb include/net/ip.h:243 [ inline] ip_push_pending_frames+0x4c/0x5c0 net/ipv4/ip_output.c:1508 raw_sendmsg+0x2381/0x2690 net/ipv4/raw.c:654 inet_sendmsg+0x27b/0x2a0 net/ipv4/af_inet.c:851 net/socket.c : 730 [en línea] __sock_sendmsg+0x274/0x3c0 net/Socket.c: 745 __sys_sendto+0x62c/0x7b0 net/Socket.c: 2191 __do_sys_sendto net/socket.c: 2203 [en línea] __se_sys_sendto net/sows. ] __x64_sys_sendto+0x130/0x200 net/socket.c:2199 do_syscall_64+0xd8/0x1f0 arch/x86/entry/common.c:83 Entry_SYSCALL_64_after_hwframe+0x6d/0x75 Uninit se creó en: slab_post_alloc_hook mm/slub.c :3804 [en línea] slab_alloc_node mm/slub.c:3845 [en línea] kmem_cache_alloc_node+0x5f6/0xc50 mm/slub.c:3888 kmalloc_reserve+0x13c/0x4a0 net/core/skbuff.c:577 __alloc_skb+0x35a/0x7c0 net/core/skbuff.c: 668 alloc_skb include/linux/skbuff.h:1318 [en línea] __ip_append_data+0x49ab/0x68c0 net/ipv4/ip_output.c:1128 ip_append_data+0x1e7/0x260 net/ipv4/ip_output.c:1365 raw_sendmsg+0x22b1/0x2690 net /ipv4 /raw.c:648 inet_sendmsg+0x27b/0x2a0 net/ipv4/af_inet.c:851 sock_sendmsg_nosec net/socket.c:730 [en línea] __sock_sendmsg+0x274/0x3c0 net/socket.c:745 __sys_sendto+0x62c/0x7b0 net / socket.c:2191 __do_sys_sendto net/socket.c:2203 [en línea] __se_sys_sendto net/socket.c:2199 [en línea] __x64_sys_sendto+0x130/0x200 net/socket.c:2199 do_syscall_64+0xd8/0x1f0 arch/x86/ent ry/ common.c:83 Entry_SYSCALL_64_after_hwframe+0x6d/0x75 CPU: 1 PID: 15709 Comm: syz-executor.7 Not tainted 6.8.0-11567-gb3603fcb79b1 #25 Nombre de hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS 1.16 .3-1.fc39 01/04/2014