Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/cxgb4: Se agregó una comprobación NULL para lookup_atid La función lookup_atid() puede devolver NULL si el ATID no es válido o no existe en la tabla de identificadores, lo que podría provocar la desreferenciación de un puntero nulo sin una comprobación en las funciones `act_establish()` y `act_open_rpl()`. Agregue una comprobación NULL para evitar la desreferenciación de punteros nulos. Encontrado por Linux Verification Center (linuxtesting.org) con SVACE.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: seeq: Se corrige la vulnerabilidad de use after free en el controlador ether3 debido a una condición de ejecución En la función ether3_probe, se inicializa un temporizador con una función de devolución de llamada ether3_ledoff, vinculada a &prev(dev)->timer. Una vez que se inicia el temporizador, existe el riesgo de una condición de ejecución si se elimina el módulo o dispositivo, lo que activa la función ether3_remove para realizar la limpieza. La secuencia de operaciones que pueden provocar un error de UAF es la siguiente: CPU0 CPU1 | ether3_ledoff ether3_remove | free_netdev(dev); | put_devic | kfree(dev); | | ether3_outw(priv(dev)->regs.config2 |= CFG2_CTRLO, REG_CONFIG2); | // use dev Corríjalo asegurándose de que el temporizador se cancele antes de continuar con la limpieza en ether3_remove.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: firmware_loader: Block path traversal La mayoría de los nombres de firmware son cadenas codificadas o se construyen a partir de cadenas de formato bastante restringidas donde las partes dinámicas son solo algunos números hexadecimales o algo así. Sin embargo, hay un par de rutas de código en el kernel donde los nombres de archivo de firmware contienen componentes de cadena que se pasan desde un dispositivo o un espacio de usuario semiprivilegiado; los que pude encontrar (sin contar las interfaces que requieren privilegios de root) son: - lpfc_sli4_request_firmware_update() parece construir el nombre de archivo de firmware a partir de "ModelName", una cadena que se analizó previamente a partir de algún descriptor ("Vital Product Data") en lpfc_fill_vpd() - nfp_net_fw_find() parece construir un nombre de archivo de firmware a partir de un nombre de modelo que proviene de nfp_hwinfo_lookup(pf->hwinfo, "nffw.partno"), que creo que analiza algún descriptor que se leyó desde el dispositivo. (Pero este caso probablemente no sea explotable porque la cadena de formato se parece a "netronome/nic_%s", y no debería haber ninguna *carpeta* que comience con "netronome/nic_". El caso anterior era diferente porque allí, el "%s" está *al comienzo* de la cadena de formato). - module_flash_fw_schedule() es accesible desde el comando netlink ETHTOOL_MSG_MODULE_FW_FLASH_ACT, que está marcado como GENL_UNS_ADMIN_PERM (lo que significa que CAP_NET_ADMIN dentro de un espacio de nombres de usuario es suficiente para pasar la verificación de privilegios), y toma un nombre de firmware provisto por el espacio de usuario. (Pero creo que para llegar a este caso, necesita tener CAP_NET_ADMIN sobre un espacio de nombres de red en el que se asigna un tipo especial de dispositivo Ethernet, por lo que creo que esta no es una ruta de ataque viable en la práctica). Arréglelo rechazando cualquier nombre de firmware que contenga componentes de ruta ".." Por si sirve de algo, he buscado y no he encontrado ningún controlador de dispositivo USB que utilice el cargador de firmware de forma peligrosa.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mm: llamar al gancho LSM security_mmap_file() en remap_file_pages() El controlador de llamadas al sistema remap_file_pages llama a do_mmap() directamente, que no contiene la comprobación de seguridad LSM. Y si el proceso ha llamado a personality(READ_IMPLIES_EXEC) antes y se llama a remap_file_pages() para páginas RW, esto realmente dará como resultado la reasignación de las páginas a RWX, omitiendo una política W^X aplicada por SELinux. Por lo tanto, deberíamos comprobar prot mediante el gancho LSM security_mmap_file en el controlador de llamadas al sistema remap_file_pages antes de que se llame a do_mmap(). De lo contrario, potencialmente permite que un atacante omita una política W^X aplicada por SELinux. La omisión es similar a CVE-2016-10044, que omite lo mismo a través de AIO y se puede encontrar en [1]. La PoC: $ cat > test.c int main(void) { size_t pagesz = sysconf(_SC_PAGE_SIZE); int mfd = syscall(SYS_memfd_create, "test", 0); const char *buf = mmap(NULL, 4 * pagesz, PROT_READ | PROT_WRITE, MAP_SHARED, mfd, 0); unsigned int old = syscall(SYS_personality, 0xffffffff); syscall(SYS_personality, READ_IMPLIES_EXEC | old); syscall(SYS_remap_file_pages, buf, pagesz, 0, 2, 0); syscall(SYS_personality, old); // muestra que la página RWX existe incluso si se aplica la política W^X int fd = open("/proc/self/maps", O_RDONLY); unsigned char buf2[1024]; while (1) { int ret = read(fd, buf2, 1024); if (ret <= 0) break; write(1, buf2, ret); } close(fd); } $ gcc test.c -o test $ ./test | grep rwx 7f1836c34000-7f1836c35000 rwxs 00002000 00:01 2050 /memfd:test (eliminado) [MP: ajustes en la línea de asunto]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe: Utilizar un motor de copia reservada para los enlaces de usuario en dispositivos con fallos Los enlaces de usuario se asignan a motores con fallos, los fallos dependen de que se completen los enlaces de usuario, por lo que podemos bloquear. Evite esto utilizando un motor de copia reservada para los enlaces de usuario en dispositivos con fallos. Mientras estamos aquí, normalice la creación de colas de enlaces con un asistente. v2: - Pasar extensiones para la creación de colas de enlaces (CI) v3: - s/resevered/reserved (Lucas) - Reparar la comprobación de hwe NULL (Jonathan)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: crypto: iaa - Fix potential use after free bug La función free_device_compression_mode(iaa_device, device_mode) libera "device_mode" pero se pasa a iaa_compression_modes[i]->free() unas líneas más adelante, lo que da como resultado un use after free. La buena noticia es que, hasta donde puedo decir, nada implementa la función ->free() y el use after free ocurre en código muerto. Pero, con esta solución, cuando algo la implemente, estaremos listos. :)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfs: Eliminar subárbol de 'fs/netfs' cuando el módulo netfs sale En netfs_init() o fscache_proc_init(), creamos una dentry bajo 'fs/netfs', pero en netfs_exit(), solo eliminamos la entrada de procedimiento de 'fs/netfs' sin eliminar su subárbol. Esto activa la siguiente ADVERTENCIA: == ... netfs_exit+0x12/0x620 [netfs] __do_sys_delete_module.isra.0+0x14c/0x2e0 do_syscall_64+0x4b/0x110 entry_SYSCALL_64_after_hwframe+0x76/0x7e ======================================================================= Por lo tanto, utilice remove_proc_subtree() en lugar de remove_proc_entry() para solucionar el problema anterior.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drivers/perf: Fix ali_drw_pmu driver interval clearing El controlador alibaba_uncore_pmu olvidó borrar todos los estados de interrupción en la función de procesamiento de interrupciones. Después de que se produjo la interrupción por desbordamiento del contador de PMU, se produjo una tormenta de interrupciones, lo que provocó que el sistema se colgara. Por lo tanto, borre el estado de interrupción correcto en la función de manejo de interrupciones para solucionarlo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bonding: Corrija las advertencias y registros innecesarios de bond_xdp_get_xmit_slave() syzbot informó una ADVERTENCIA en bond_xdp_get_xmit_slave. Para reproducir esto[1], un dispositivo de enlace (bond1) tiene xdpdrv, que aumenta bpf_master_redirect_enabled_key. Otro dispositivo de enlace (bond0) que no es compatible con XDP pero su esclavo (veth3) tiene xdpgeneric que devuelve XDP_TX. Esto activa WARN_ON_ONCE() desde xdp_master_redirect(). Para reducir las advertencias innecesarias y mejorar la gestión de registros, debemos eliminar WARN_ON_ONCE() y agregar ratelimit a netdev_err(). [1] Pasos para reproducir: # Necesita tx_xdp con return XDP_TX; ip l add veth0 type veth peer veth1 ip l add veth3 type veth peer veth4 ip l add bond0 type bond mode 6 # BOND_MODE_ALB, no compatible con XDP ip l add bond1 type bond # BOND_MODE_ROUNDROBIN de forma predeterminada ip l set veth0 master bond1 ip l set bond1 up # Aumenta bpf_master_redirect_enabled_key ip l set dev bond1 xdpdrv object tx_xdp.o section xdp_tx ip l set veth3 master bond0 ip l set bond0 up ip l set veth4 up # Activa WARN_ON_ONCE() desde xdp_master_redirect() ip l set veth3 xdpgeneric object tx_xdp.o section xdp_tx

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: tampoco use máscara de velocidad para TX fuera de canal Al igual que el commit ab9177d83c04 ("wifi: mac80211: no use máscara de velocidad para escanear"), ignore las configuraciones incorrectas para evitar la advertencia de velocidad no admitida informada por syzbot. El syzbot dividió y encontró la causa en el commit 9df66d5b9f45 ("cfg80211: corrige la máscara de velocidad de bits de transmisión HE predeterminada en la banda 2G"), que sin embargo corrige la máscara de bits de HE MCS y reconoce correctamente las configuraciones de la velocidad heredada vacía más la velocidad de HE MCS en lugar de devolver -EINVAL. Como sugerencias [1], siga el cambio de SCAN TX para considerar también este caso de TX fuera de canal. [1] https://lore.kernel.org/linux-wireless/6ab2dc9c3afe753ca6fdcdd1421e7a1f47e87b84.camel@sipsolutions.net/T/#m2ac2a6d2be06a37c9c47a3d8a44b4f647ed4f024

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: erofs: manejar pclusters superpuestos fuera de imágenes manipuladas correctamente syzbot informó un problema de bloqueo de tareas debido a un caso de interbloqueo donde está esperando el bloqueo de folio de un folio en caché que se usará para E/S de caché. Después de mirar la imagen difusa creada, encontré que está formada con varios pclusters grandes superpuestos como se muestra a continuación: Ext: desplazamiento lógico | longitud: desplazamiento físico | longitud 0: 0.. 16384 | 16384: 151552.. 167936 | 16384 1: 16384.. 32768 | 16384: 155648.. 172032 | 16384 2: 32768.. 49152 | 16384 : 537223168.. 537239552 | 16384 ... Aquí, las extensiones 0/1 están físicamente superpuestas, aunque es completamente _impossible_ para las imágenes de sistemas de archivos normales generadas por mkfs. Primero, los folios administrados que contienen datos comprimidos se marcarán como actualizados y luego se desbloquearán inmediatamente (a diferencia de los folios locales) cuando se completen las E/S comprimidas. Si los bloques físicos no se envían en el orden incremental, debe haber BIO separados para evitar problemas de dependencia. Sin embargo, el código actual organiza mal z_erofs_fill_bio_vec() y el envío de BIO, lo que causa esperas inesperadas de BIO. En segundo lugar, los folios administrados se conectarán a sus propios pclusters para realizar consultas entre consultas eficientes. Sin embargo, esto es algo difícil de implementar fácilmente si existen pclusters grandes superpuestos. Nuevamente, estos solo aparecen en imágenes difusas, por lo que simplemente retrocedamos a páginas temporales de corta duración para que sean correctas. Además, justifica que los folios administrados referenciados no se pueden truncar por ahora y revierte parte de el commit 2080ca1ed3e4 ("erofs: ordenar `struct z_erofs_bvec`") para simplificar, aunque no debería haber ninguna diferencia.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: RDMA/hns: Se corrige el error spin_unlock_irqrestore() llamado con IRQ habilitadas Se corrige el uso incorrecto de spin_lock_irq()/spin_unlock_irq() cuando spin_lock_irqsave()/spin_lock_irqrestore() estaba retenido. Esto se descubrió a través de la depuración de bloqueo, y el registro correspondiente es el siguiente: raw_local_irq_restore() llamado con IRQs habilitados ADVERTENCIA: CPU: 96 PID: 2074 en kernel/locking/irqflag-debug.c:10 warn_bogus_irq_restore+0x30/0x40 ... Rastreo de llamada: warn_bogus_irq_restore+0x30/0x40 _raw_spin_unlock_irqrestore+0x84/0xc8 add_qp_to_list+0x11c/0x148 [hns_roce_hw_v2] hns_r_cocereate_qp_common.constprop.0+0x240/0x780 [hns_roce_hw_v2] hns_roce_create_qp+0x98/0x160 [hns_roce_hw_v2] create_qp+0x138/0x258 ib_create_qp_kernel+0x50/0xe8 create_mad_qp+0xa8/0x128 ib_mad_port_open+0x218/0x448 ib_mad_init_device+0x70/0x1f8 add_client_context+0xfc/0x220 enable_device_and_get+0xd0/0x140 ib_register_device.part.0+0xf4/0x1c8 ib_register_device+0x34/0x50 hns_roce_register_device+0x174/0x3d0 [hns_roce_hw_v2] hns_roce_init+0xfc/0x2c0 [hns_roce_hw_v2] __hns_roce_hw_v2_init_instance+0x7c/0x1d0 [hns_roce_hw_v2] hns_roce_hw_v2_init_instance+0x9c/0x180 [hns_roce_hw_v2]