Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: fix uninitialized pointer free on read_alloc_one_name() error La función read_alloc_one_name() no inicializa el campo de nombre de la estructura fscrypt_str pasada si kmalloc no puede asignar el búfer correspondiente. Por lo tanto, no se garantiza que fscrypt_str.name se inicialice al liberarlo. Este es un seguimiento del parche vinculado que corrige las instancias restantes del error introducido por el commit e43eec81c516 ("btrfs: use struct qstr instead of name and namelen pairs").

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: se corrige la liberación de un puntero no inicializado en add_inode_ref() La función add_inode_ref() no inicializa la estructura "name" cuando se declara. Si alguna de las siguientes llamadas a "read_one_inode() devuelve NULL, dir = read_one_inode(root, parent_objectid); if (!dir) { ret = -ENOENT; goto out; } inode = read_one_inode(root, inode_objectid); if (!inode) { ret = -EIO; goto out; } entonces "name.name" se liberaría en "out" antes de inicializarse. out: ... kfree(name.name); Este problema fue informado por Coverity con CID 1526744.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm/damon/tests/sysfs-kunit.h: corrige pérdida de memoria en damon_sysfs_test_add_targets(). La región sysfs_target->regions asignada en damon_sysfs_regions_alloc() no se libera en damon_sysfs_test_add_targets(), lo que causa la siguiente pérdida de memoria; libérela para corregirla. objeto sin referencia 0xffffff80c2a8db80 (tamaño 96): comm "kunit_try_catch", pid 187, jiffies 4294894363 volcado hexadecimal (primeros 32 bytes): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ backtrace (crc 0): [<0000000001e3714d>] kmemleak_alloc+0x34/0x40 [<000000008e6835c1>] __kmalloc_cache_noprof+0x26c/0x2f4 [<000000001286d9f8>] damon_sysfs_test_add_targets+0x1cc/0x738 [<0000000032ef8f77>] kunit_try_run_case+0x13c/0x3ac [<00000000f3edea23>] kunit_generic_run_threadfn_adapter+0x80/0xec [<00000000adf936cf>] kthread+0x2e8/0x374 [<0000000041bb1628>] ret_from_fork+0x10/0x20

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: stm32: comprobar el valor devuelto por devm_kasprintf() devm_kasprintf() puede devolver un puntero NULL en caso de error, pero este valor devuelto no se comprueba. Corrija esta falla y compruebe el valor devuelto. Encontrado por revisión de código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: nuvoton: corrige una liberación doble en ma35_pinctrl_dt_node_to_map_func() 'new_map' se asigna utilizando devm_* que se encarga de liberar los datos asignados al quitar el dispositivo, llamar a .dt_free_map = pinconf_generic_dt_free_map libera el mapa dos veces mientras pinconf_generic_dt_free_map() llama a pinctrl_utils_free_map(). Corrija esto utilizando kcalloc() en lugar de devm_kcalloc() administrado automáticamente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: xhci: tegra: fix checked USB2 port number Si la virtualización USB está habilitada, los puertos USB2 se comparten entre todas las funciones virtuales. El número de puerto USB2 que posee un concentrador raíz USB2 en una función virtual puede ser menor que el número total de puertos USB2 compatibles con el controlador Tegra XUSB. El uso del número total de puertos USB2 como número de puerto para verificar todos los valores PORTSC provocaría un acceso no válido a la memoria. [ 116.923438] No se puede manejar la solicitud de paginación del núcleo en la dirección virtual 006c622f7665642f ... [ 117.213640] Rastreo de llamadas: [ 117.216783] tegra_xusb_enter_elpg+0x23c/0x658 [ 117.222021] tegra_xusb_runtime_suspend+0x40/0x68 [ 117.227260] pm_generic_runtime_suspend+0x30/0x50 [ 117.232847] __rpm_callback+0x84/0x3c0 [ 117.237038] rpm_suspend+0x2dc/0x740 [ 117.241229] pm_runtime_work+0xa0/0xb8 [ 117.245769] proceso_trabajo_programado+0x24c/0x478 [ 117.251007] subproceso_trabajador+0x23c/0x328 [ 117.255547] kthread+0x104/0x1b0 [ 117.259389] ret_from_fork+0x10/0x20 [ 117.263582] Código: 54000222 f9461ae8 f8747908 b4ffff48 (f9400100)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vt: prevent kernel-infoleak en con_font_get() font.data puede no inicializar todos los espacios de memoria dependiendo de la implementación de vc->vc_sw->con_font_get. Esto puede causar una fuga de información, por lo que para evitarlo, es más seguro modificarlo para inicializar el espacio de memoria asignado a 0 y, por lo general, no afecta el rendimiento general del sistema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: io_uring/sqpoll: asegurarse de que el estado de la tarea sea TASK_RUNNING al ejecutar task_work Cuando sqpoll sale y cancela elementos de trabajo pendientes, es posible que deba ejecutar task_work. Si esto sucede desde dentro de io_uring_cancel_generic(), es posible que esté esperando la cola de espera de io_uring_task. Esto da como resultado el siguiente splat del programador, ya que se puede intentar capturar el mutex de anillo mientras se está en un estado TASK_INTERRUPTIBLE. Asegúrese de que el estado de la tarea esté configurado adecuadamente para eso, al igual que lo que se hace para los otros casos en io_run_task_work(). no llame a operaciones de bloqueo cuando !TASK_RUNNING; estado=1 establecido en [<0000000029387fd2>] prepare_to_wait+0x88/0x2fc ADVERTENCIA: CPU: 6 PID: 59939 en kernel/sched/core.c:8561 __might_sleep+0xf4/0x140 Módulos vinculados: CPU: 6 UID: 0 PID: 59939 Comm: iou-sqp-59938 No contaminado 6.12.0-rc3-00113-g8d020023b155 #7456 Nombre del hardware: linux,dummy-virt (DT) pstate: 61400005 (nZCv daif +PAN -UAO -TCO +DIT -SSBS BTYPE=--) pc : __might_sleep+0xf4/0x140 lr : __might_sleep+0xf4/0x140 sp : ffff80008c5e7830 x29: ffff80008c5e7830 x28: ffff0000d93088c0 x27: ffff60001c2d7230 x26: dfff800000000000 x25: ffff0000e16b9180 x24: ffff80008c5e7a50 x23: 1ffff000118bcf4a x22: ffff0000e16b9180 x21: ffff0000e16b9180 x20: 000000000000011b x19: ffff80008310fac0 x18: 1ffff000118bcd90 x17: 30303c5b20746120 x16: 74657320313d6574 x15: 0720072007200720 x14: 0720072007200720 x13: 0720072007200720 x12: ffff600036c64f0b x11: 1fffe00036c64f0a x10: ffff600036c64f0a x9: dfff800000000000 x8: 00009fffc939b0f6 x7: ffff0001b6327853 x6 : 0000000000000001 x5 : ffff0001b6327850 x4 : ffff600036c64f0b x3 : ffff8000803c35bc x2 : 000000000000000 x1 : 0000000000000000 x0 : ffff0000e16b9180 Rastreo de llamadas: __might_sleep+0xf4/0x140 mutex_lock+0x84/0x124 io_handle_tw_list+0xf4/0x260 tctx_task_work_run+0x94/0x340 io_run_task_work+0x1ec/0x3c0 io_uring_cancel_generic+0x364/0x524 io_sq_thread+0x820/0x124c ret_from_fork+0x10/0x20

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: apple: comprobar el valor devuelto por devm_kasprintf() devm_kasprintf() puede devolver un puntero NULL en caso de error, pero este valor devuelto no se comprueba. Corrija esta falla y compruebe el valor devuelto. Encontrado por revisión de código.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: x86/bugs: Usar selector de segmento de código para el operando VERW Robert Gill informó lo siguiente: #GP en modo de 32 bits cuando el software dosemu estaba ejecutando la llamada al sistema vm86(): error de protección general: 0000 [#1] PREEMPT SMP CPU: 4 PID: 4610 Comm: dosemu.bin No contaminado 6.6.21-gentoo-x86 #1 Nombre del hardware: Dell Inc. PowerEdge 1950/0H723K, BIOS 2.7.0 30/10/2010 EIP: restore_all_switch_stack+0xbe/0xcf EAX: 00000000 EBX: 00000000 ECX: 00000000 EDX: 00000000 ESI: 00000000 EDI: 00000000 EBP: 00000000 ESP: ff8affdc DS: 0000 ES: 0000 FS: 0000 GS: 0033 SS: 0068 EFLAGS: 00010046 CR0: 80050033 CR2: 00c2101c CR3: 04b6d000 CR4: 000406d0 Seguimiento de llamadas: show_regs+0x70/0x78 die_addr+0x29/0x70 exc_general_protection+0x13c/0x348 exc_bounds+0x98/0x98 handle_exception+0x14d/0x14d exc_bounds+0x98/0x98 restore_all_switch_stack+0xbe/0xcf exc_bounds+0x98/0x98 restore_all_switch_stack+0xbe/0xcf Esto solo sucede en el modo de 32 bits cuando se habilitan las mitigaciones basadas en VERW como MDS/RFDS. Esto se debe a que los registros de segmento con un valor de usuario arbitrario pueden generar #GP al ejecutar VERW. Intel SDM vol. 2C documenta el siguiente comportamiento para la instrucción VERW: #GP(0) - Si la dirección efectiva de un operando de memoria está fuera del límite de segmento CS, DS, ES, FS o GS. La macro CLEAR_CPU_BUFFERS ejecuta la instrucción VERW antes de regresar al espacio de usuario. Use el selector %cs para hacer referencia al operando VERW. Esto garantiza que VERW no genere #GP para un usuario arbitrario %ds. [ mingo: Se corrigió la cadena SOB. ]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tty: n_gsm: Fix use-after-free en gsm_cleanup_mux ERROR: KASAN: slab-use-after-free en gsm_cleanup_mux+0x77b/0x7b0 drivers/tty/n_gsm.c:3160 [n_gsm] Lectura de tamaño 8 en la dirección ffff88815fe99c00 por la tarea poc/3379 CPU: 0 UID: 0 PID: 3379 Comm: poc No contaminado 6.11.0+ #56 Nombre del hardware: VMware, Inc. VMware Virtual Platform/440BX Desktop Reference Platform, BIOS 6.00 12/11/2020 Seguimiento de llamadas: gsm_cleanup_mux+0x77b/0x7b0 controladores/tty/n_gsm.c:3160 [n_gsm] __pfx_gsm_cleanup_mux+0x10/0x10 controladores/tty/n_gsm.c:3124 [n_gsm] __pfx_sched_clock_cpu+0x10/0x10 kernel/sched/clock.c:389 update_load_avg+0x1c1/0x27b0 kernel/sched/fair.c:4500 __pfx_min_vruntime_cb_rotate+0x10/0x10 kernel/sched/fair.c:846 __rb_insert_augmented+0x492/0xbf0 lib/rbtree.c:161 gsmld_ioctl+0x395/0x1450 controladores/tty/n_gsm.c:3408 [n_gsm] _raw_spin_lock_irqsave+0x92/0xf0 arquitectura/x86/include/asm/atomic.h:107 __pfx_gsmld_ioctl+0x10/0x10 controladores/tty/n_gsm.c:3822 [n_gsm] ktime_get+0x5e/0x140 núcleo/tiempo/tiempo de mantenimiento.c:195 ldsem_down_read+0x94/0x4e0 arquitectura/x86/include/asm/atomic64_64.h:79 __pfx_ldsem_down_read+0x10/0x10 controladores/tty/tty_ldsem.c:338 __pfx_do_vfs_ioctl+0x10/0x10 fs/ioctl.c:805 tty_ioctl+0x643/0x1100 drivers/tty/tty_io.c:2818 Asignado por la tarea 65: gsm_data_alloc.constprop.0+0x27/0x190 drivers/tty/n_gsm.c:926 [n_gsm] gsm_send+0x2c/0x580 drivers/tty/n_gsm.c:819 [n_gsm] gsm1_receive+0x547/0xad0 drivers/tty/n_gsm.c:3038 [n_gsm] gsmld_receive_buf+0x176/0x280 drivers/tty/n_gsm.c:3609 [n_gsm] tty_ldisc_receive_buf+0x101/0x1e0 controladores/tty/tty_buffer.c:391 puerto_tty_default_receive_buf+0x61/0xa0 controladores/tty/tty_port.c:39 vaciado_a_ldisc+0x1b0/0x750 controladores/tty/tty_buffer.c:445 proceso_trabajos_programados+0x2b0/0x10d0 kernel/workqueue.c:3229 subproceso_trabajador+0x3dc/0x950 kernel/workqueue.c:3391 kthread+0x2a3/0x370 kernel/kthread.c:389 ret_de_la_bifurcación+0x2d/0x70 arch/x86/kernel/process.c:147 ret_de_la_bifurcación_asm+0x1a/0x30 arch/x86/entry/entry_64.S:257 Liberado por la tarea 3367: kfree+0x126/0x420 mm/slub.c:4580 gsm_cleanup_mux+0x36c/0x7b0 drivers/tty/n_gsm.c:3160 [n_gsm] gsmld_ioctl+0x395/0x1450 drivers/tty/n_gsm.c:3408 [n_gsm] tty_ioctl+0x643/0x1100 drivers/tty/tty_io.c:2818 [Análisis] gsm_msg en tx_ctrl_list o tx_data_list de gsm_mux puede ser liberado por múltiples subprocesos a través de ioctl, lo que lleva a la aparición de uaf. Protéjalo con cerradura gsm tx.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: parport: Solución adecuada para el acceso fuera de los límites a matrices La solución reciente para los accesos fuera de los límites a matrices reemplazó las llamadas sprintf() ciegamente con snprintf(). Sin embargo, dado que snprintf() devuelve el tamaño que se imprimirá, no el tamaño de salida real, el cálculo de la longitud aún puede superar el límite dado. Utilice scnprintf() en lugar de snprintf(), que devuelve las letras de salida reales, para abordar el posible acceso fuera de los límites correctamente.