Vulnerabilidades

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: IB/core: corrija un bloqueo anidado como parte del flujo ODP. Corrija un bloqueo anidado como parte del flujo ODP usando mmput_async(). En el siguiente seguimiento de llamadas [1] se puede ver que llamar a mmput() una vez que tenemos umem_odp->umem_mutex bloqueado como lo requiere ib_umem_odp_map_dma_and_lock() podría desencadenar en la misma tarea exit_mmap()->__mmu_notifier_release()->mlx5_ib_invalidate_range() lo que puede bloquearse al intentar bloquear el mismo mutex. Pasar a utilizar mmput_async() resolverá el problema ya que el flujo exit_mmap() anterior se llamará en otra tarea y se ejecutará una vez que el bloqueo esté disponible. [1] [64843.077665] tarea:kworker/u133:2 estado:D pila: 0 pid:80906 ppid: 2 banderas:0x00004000 [64843.077672] Cola de trabajo: mlx5_ib_page_fault mlx5_ib_eqe_pf_action [mlx5_ib] 9] Seguimiento de llamadas: [64843.077722] [64843.077724] __schedule+0x23d/0x590 [64843.077729] Schedule+0x4e/0xb0 [64843.077735] Schedule_preempt_disabled+0xe/0x10 [64843.077740] __mutex_lock.constprop.0+0x263/0x 490 [64843.077747] __mutex_lock_slowpath+0x13/0x20 [64843.077752] mutex_lock+0x34 /0x40 [64843.077758] mlx5_ib_invalidate_range+0x48/0x270 [mlx5_ib] [64843.077808] __mmu_notifier_release+0x1a4/0x200 [64843.077816] exit_mmap+0x1bc/0x200 822] ? walk_page_range+0x9c/0x120 [64843.077828] ? __cond_resched+0x1a/0x50 [64843.077833] ? mutex_lock+0x13/0x40 [64843.077839] ? uprobe_clear_state+0xac/0x120 [64843.077860] mmput+0x5f/0x140 [64843.077867] ib_umem_odp_map_dma_and_lock+0x21b/0x580 [ib_core] [64843.077931] pagefault_real_mr+0x9a/0x 140 [mlx5_ib] [64843.077962] pagefault_mr+0xb4/0x550 [mlx5_ib] [64843.077992] pagefault_single_data_segment .constprop.0+0x2ac/0x560 [mlx5_ib] [64843.078022] mlx5_ib_eqe_pf_action+0x528/0x780 [mlx5_ib] [64843.078051] Process_one_work+0x22b/0x3d0 [64843.078059] x53/0x410 [64843.078065] ? proceso_one_work+0x3d0/0x3d0 [64843.078073] kthread+0x12a/0x150 [64843.078079] ? set_kthread_struct+0x50/0x50 [64843.078085] ret_from_fork+0x22/0x30 [64843.078093]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvme-tcp: corrige UAF al detectar errores de resumen. También debemos salir del bucle io_work cuando configuramos rd_enabled en verdadero, para no intentar leer datos del socket cuando el flujo TCP ya no está sincronizado o está dañado.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: ipv6: sr: corrige lectura fuera de los límites al configurar datos HMAC. La capa SRv6 permite definir datos HMAC que luego pueden usarse para firmar encabezados de enrutamiento de segmentos IPv6. Esta configuración se realiza vía netlink a través de cuatro atributos: SEG6_ATTR_HMACKEYID, SEG6_ATTR_SECRET, SEG6_ATTR_SECRETLEN y SEG6_ATTR_ALGID. Debido a que el atributo SECRETLEN está desacoplado de la longitud real del atributo SECRET, es posible proporcionar combinaciones no válidas (por ejemplo, secret = "", secretlen = 64). Este caso no está marcado en el código y con un mensaje netlink manipulado apropiadamente, puede ocurrir una lectura fuera de los límites de hasta 64 bytes (longitud máxima del secreto) más allá del puntero final de skb y en skb_shared_info: Punto de interrupción 1, seg6_genl_sethmac (skb =, info=) en net/ipv6/seg6.c:208 208 memcpy(hinfo->secret, secret, slen); (gdb) bt #0 seg6_genl_sethmac (skb=, info=) en net/ipv6/seg6.c:208 #1 0xffffffff81e012e9 en genl_family_rcv_msg_doit (skb=skb@entry=0xffff88800b1f9f00, nlh=nlh@ entrada=0xffff88800b1b7600, extack=extack@entry=0xffffc90000ba7af0, ops=ops@entry=0xffffc90000ba7a80, hdrlen=4, net=0xffffffff84237580 , family=, familia=) en net/netlink/ genetlink.c:731 #2 0xffffffff81e01435 en genl_family_rcv_msg (extack=0xffffc90000ba7af0, nlh=0xffff88800b1b7600, skb=0xffff88800b1f9f00, family=0xffffffff82fef6c0 ) en net/netlink/genetlink.c:775 #3 genl_rcv_msg (skb=0xffff88800b1f9f00, nlh= 0xffff88800b1b7600, extack=0xffffc90000ba7af0) en net/netlink/genetlink.c:792 #4 0xffffffff81dfffc3 en netlink_rcv_skb (skb=skb@entry=0xffff88800b1f9f00, cb=cb@entry=0xffffffff81e013 50 ) en net/netlink/af_netlink.c: 2501 #5 0xffffffff81e00919 en genl_rcv (skb=0xffff88800b1f9f00) en net/netlink/genetlink.c:803 #6 0xffffffff81dff6ae en netlink_unicast_kernel (ssk=0xffff888010eec800, f9f00, sk=0xffff888004aed000) en net/netlink/af_netlink.c:1319 # 7 netlink_unicast (ssk=ssk@entry=0xffff888010eec800, skb=skb@entry=0xffff88800b1f9f00, portid=portid@entry=0, nonblock=) en net/netlink/af_netlink.c:1345 #8 0xffffffff81dff9a4 en ( sock=, msg=0xffffc90000ba7e48, len=) en net/netlink/af_netlink.c:1921 ... (gdb) p/x ((struct sk_buff *)0xffff88800b1f9f00)->head + ( (struct sk_buff *)0xffff88800b1f9f00)->end $1 = 0xffff88800b1b76c0 (gdb) p/x secret $2 = 0xffff88800b1b76c0 (gdb) p slen $3 = 64 '@' Los datos OOB se pueden volver a leer desde el espacio de usuario volcando el estado HMAC. Esta confirmación soluciona este problema garantizando que SECRETLEN no pueda exceder la longitud real de SECRET.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: i40e: soluciona el fallo del kernel durante la eliminación del módulo. El controlador libera incorrectamente la instancia del cliente y la posterior eliminación del módulo i40e provoca un fallo del kernel. Reproductor: 1. Realice la prueba fuera de línea de ethtool seguida inmediatamente por otro host# ethtool -t eth0 fuera de línea; ethtool -t eth0 offline 2. Elimine recursivamente el módulo irdma que también elimina el módulo i40e host# modprobe -r irdma Resultado: [8675.035651] i40e 0000:3d:00.0 eno1: pruebas fuera de línea iniciando [8675.193774] i40e 0000:3d:00.0 eno1: pruebas terminado [ 8675.201316] i40e 0000:3d:00.0 eno1: prueba fuera de línea iniciando [ 8675.358921] i40e 0000:3d:00.0 eno1: prueba finalizada [ 8675.496921] i40e 0000:3d:00.0: inicialización de hardware IRDMA FALLADA init_state=2 estado = -110 [ 8686.188955] i40e 0000:3d:00.1: i40e_ptp_stop: PHC eliminado en eno2 [ 8686.943890] i40e 0000:3d:00.1: Dispositivo LAN eliminado PF1 bus=0x3d dev=0x00 func=0x01 [ 8686.952669] 0e 0000:3d:00.0: i40e_ptp_stop: se eliminó PHC en eno1 [8687.761787] ERROR: desreferencia del puntero NULL del kernel, dirección: 0000000000000030 [8687.768755] #PF: acceso de lectura de supervisor en modo kernel [8687.773895] #PF: error_code(0x0000) - página no presente [8687.779034] P GD 0 P4D 0 [ 8687.781575] Ups: 0000 [#1] PREEMPT SMP NOPTI [ 8687.785935] CPU: 51 PID: 172891 Comm: rmmod Kdump: cargado Contaminado: GWI 5.19.0+ #2 [ 8687.794800] Nombre de hardware: Intel Corporation S2600WFD/S26 00WFD, BIOS SE5C620.86B.0X.02.0001.051420190324 14/05/2019 [8687.805222] RIP: 0010:i40e_lan_del_device+0x13/0xb0 [i40e] [8687.810719] Código: d4 84 c0 0f 84 b8 25 01 00 e9 9c 25 01 00 41 bc f4 ff ff ff eb 91 90 0f 1f 44 00 00 41 54 55 53 48 8b 87 58 08 00 00 48 89 fb <48> 8b 68 30 48 89 ef e8 21 8a 0f d5 48 89 ef e8 a9 0f d5 48 8b [8687.829462] RSP: 0018:ffffa604072efce0 EFLAGS: 00010202 [8687.834689] RAX: 00000000000000000 RBX: ffff8f43833b2000 RCX: 00000000000000 00 [ 8687.841821] RDX: 00000000000000000 RSI: ffff8f4b0545b298 RDI: ffff8f43833b2000 [ 8687.848955] RBP: ffff8f43833b2000 R08: 000000000000000 01 R09: 0000000000000000 [ 8687.856086 ] R10: 0000000000000000 R11: 000ffffffffff000 R12: ffff8f43833b2ef0 [ 8687.863218] R13: ffff8f43833b2ef0 R14: ffff915103966000 R15: 2008 [ 8687.870342] FS: 00007f79501c3740(0000) GS:ffff8f4adffc0000(0000) knlGS:000000000000000000 [ 8687.878427] CS: 0010 DS: 0000 ES : 0000 CR0: 0000000080050033 [ 8687.884174] CR2: 0000000000000030 CR3: 000000014276e004 CR4: 00000000007706e0 [ 8687.891306] DR0: 00000000000 DR1: 0000000000000000 DR2: 0000000000000000 [ 8687.898441] DR3: 00000000000000000 DR6: 00000000ffe0ff0 DR7: 0000000000000400 [ 8687.905572] PKRU: 55555554 [ 8687.908286] Seguimiento de llamadas: [8687.910737] [8687.912843] i40e_remove+0x2c0/0x330 [i40e] [8687.917040] pci_device_remove+0x33/0xa0 [8687.920962] device_release_driver_internal+0x1aa/ 0x230 [8687.926188] driver_detach+0x44/0x90 [8687.929770] bus_remove_driver+0x55 /0xe0 [ 8687.933693] pci_unregister_driver+0x2a/0xb0 [ 8687.937967] i40e_exit_module+0xc/0xf48 [i40e] Dos pruebas fuera de línea causan una falla del controlador IRDMA (ETIMEDOUT) y esta falla se indica a i40e_client_subtask() que llama a i40e_client_del _instance() para liberar la instancia del cliente referenciado por pf->cinst y establece este puntero en NULL. Durante la eliminación del módulo, i40e_remove() llama a i40e_lan_del_device() que desreferencia pf->cinst que es NULL -> crash. No elimine la instancia del cliente cuando las devoluciones de llamada abiertas del cliente fallan y simplemente borre el bit __I40E_CLIENT_INSTANCE_OPENED. El controlador también debe tener cuidado con esta situación (cuando netdev está activo y el cliente NO está abierto) en i40e_notify_client_of_netdev_close() y llama a la devolución de llamada de cierre del cliente solo cuando __I40E_CLIENT_INSTANCE_OPENED está configurado.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: tcp: TX zerocopy no debería detectar el estado de pfmemalloc Recibimos un informe reciente de syzbot [1] que muestra un posible uso indebido del estado de la página pfmemalloc en rutas de TCP zerocopy. De hecho, para páginas provenientes del espacio de usuario u otras capas, usar page_is_pfmemalloc() es discutible y posiblemente podría dar falsos positivos. Ha habido intentos de hacer que page_is_pfmemalloc() sea más robusto, pero probablemente sea mejor no usarlo en primer lugar en este contexto, ya que elimina los ciclos de la CPU. Nota para los equipos estables: deben respaldar 84ce071e38a6 ("net: introduzca __skb_fill_page_desc_noacc") como requisito previo. La carrera es más probable después de confirmar c07aea3ef4d4 ("mm: agregar una firma en la página de estructura") porque page_is_pfmemalloc() ahora usa un bit de orden bajo de página->lru.next, que puede cambiar con más frecuencia que página->índice. El bit de orden bajo nunca debe configurarse para lru.next (cuando se usa como ancla en la lista LRU), por lo que el informe de KCSAN es en su mayoría un falso positivo. No parece necesario realizar backports a versiones anteriores del kernel. [1] ERROR: KCSAN: data-race en lru_add_fn/tcp_build_frag escribe en 0xffffea0004a1d2c8 de 8 bytes por tarea 18600 en la CPU 0: __list_add include/linux/list.h:73 [en línea] list_add include/linux/list.h:88 [en línea] lruvec_add_folio include/linux/mm_inline.h:105 [en línea] lru_add_fn+0x440/0x520 mm/swap.c:228 folio_batch_move_lru+0x1e1/0x2a0 mm/swap.c:246 folio_batch_add_and_move mm/swap.c:263 linea ] folio_add_lru+0xf1/0x140 mm/swap.c:490 filemap_add_folio+0xf8/0x150 mm/filemap.c:948 __filemap_get_folio+0x510/0x6d0 mm/filemap.c:1981 pagecache_get_page+0x26/0x190 mm/folio-compat.c: 104 grab_cache_page_write_begin+0x2a/0x30 mm/folio-compat.c:116 ext4_da_write_begin+0x2dd/0x5f0 fs/ext4/inode.c:2988 generic_perform_write+0x1d4/0x3f0 mm/filemap.c:3738 ext4_buffered_write_iter+0x235/0x 3e0 fs/ext4/ file.c:270 ext4_file_write_iter+0x2e3/0x1210 call_write_iter include/linux/fs.h:2187 [en línea] new_sync_write fs/read_write.c:491 [en línea] vfs_write+0x468/0x760 fs/read_write.c:578 ksys_write+0xe8/ 0x1a0 fs/read_write.c:631 __do_sys_write fs/read_write.c:643 [en línea] __se_sys_write fs/read_write.c:640 [en línea] __x64_sys_write+0x3e/0x50 fs/read_write.c:640 do_syscall_x64 arch/x86/entry/common .c: 50 [en línea] do_syscall_64+0x2b/0x70 arch/x86/entry/comunes.c: 80 entry_syscall_64_after_hwframe+0x63/0xcd lee a 0xffffea0004a1d2c8 de 8 bytes por tarea 18611 en la CPU 1: Page_is_pfmememememem 1740 [Inline] __skb_fill_page_desc incluyen/linux/skbuff.h: 2422 [en línea] skb_fill_page_desc incluyen/linux/skbuff.h: 2443 [en línea] 0 neto /ipv4/tcp.c:1075 tcp_sendpage_locked net/ipv4/tcp.c:1140 [en línea] tcp_sendpage+0x89/0xb0 net/ipv4/tcp.c:1150 inet_sendpage+0x7f/0xc0 net/ipv4/af_inet.c:833 kernel_sendpage +0x184/0x300 net/socket.c:3561 sock_sendpage+0x5a/0x70 net/socket.c:1054 pipe_to_sendpage+0x128/0x160 fs/splice.c:361 splice_from_pipe_feed fs/splice.c:415 __splice_from_pipe+0x222 / 0x4d0 fs/splice.c:559 splice_from_pipe fs/splice.c:594 [en línea] generic_splice_sendpage+0x89/0xc0 fs/splice.c:743 do_splice_from fs/splice.c:764 [en línea] direct_splice_actor+0x80/0xa0 fs/splice .c:931 splice_direct_to_actor+0x305/0x620 fs/splice.c:886 do_splice_direct+0xfb/0x180 fs/splice.c:974 do_sendfile+0x3bf/0x910 fs/read_write.c:1249 __do_sys_sendfile64 fs/read_write.c:13 17 [en línea ] __se_sys_sendfile64 fs/read_write.c:1303 [en línea] __x64_sys_sendfile64+0x10c/0x150 fs/read_write.c:1303 do_syscall_x64 arch/x86/entry/common.c:50 [en línea] do_syscall_64+0x2b/0x70 arch/ x86/entrada/ common.c:80 Entry_SYSCALL_64_after_hwframe+0x63/0xcd valor cambiado: 0x0000000000000000 -> 0xffffea0004a1d288 ----truncado----

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nf_tables: limpia la lista de ganchos cuando falla la verificación de indicadores de descarga, vuelve a unir la lista de ganchos para que nft_chain_release_hook() tenga la oportunidad de liberar los ganchos. ERROR: pérdida de memoria objeto sin referencia 0xffff88810180b100 (tamaño 96): comunicación "syz-executor133", pid 3619, jiffies 4294945714 (edad 12.690 s) volcado hexadecimal (primeros 32 bytes): 28 64 23 02 81 88 ff ff 28 64 02 81 88 ff ff (d#.....(d#..... 90 a8 aa 83 ff ff ff ff 00 00 b5 0f 81 88 ff ff ................ retroceso : [] kmalloc include/linux/slab.h:600 [en línea] [] nft_netdev_hook_alloc+0x3b/0xc0 net/netfilter/nf_tables_api.c:1901 [] netdev net/netfilter/nf_tables_api. c:1998 [en línea] [] nft_chain_parse_hook+0x33a/0x530 net/netfilter/nf_tables_api.c:2073 [] nf_tables_addchain.constprop.0+0x10b/0x950 f_tables_api.c:2218 [< ffffffff83a9c41b>] nf_tables_newchain+0xa8b/0xc60 net/netfilter/nf_tables_api.c:2593 [] nfnetlink_rcv_batch+0xa46/0xd20 net/netfilter/nfnetlink.c:517 [] nfnetlink_rcv_skb_batch net/netfilter/nfnetlink.c: 638 [en línea] [] nfnetlink_rcv+0x1f9/0x220 net/netfilter/nfnetlink.c:656 [] netlink_unicast_kernel net/netlink/af_netlink.c:1319 [en línea] [] emitir+0x397/ 0x4c0 net/netlink/af_netlink.c:1345 [] netlink_sendmsg+0x396/0x710 net/netlink/af_netlink.c:1921 [] sock_sendmsg_nosec net/socket.c:714 [en línea] 65ab6>] sock_sendmsg+0x56/0x80 net/socket.c:734 [] ____sys_sendmsg+0x36c/0x390 net/socket.c:2482 [] ___sys_sendmsg+0xa8/0x110 36 [ ] __sys_sendmsg+0x88/0x100 net/socket.c:2565 [] do_syscall_x64 arch/x86/entry/common.c:50 [en línea] [] do_syscall_64+0x35/0xb0 arch/x86/ent ry/común .c:80 [] entrada_SYSCALL_64_after_hwframe+0x63/0xcd

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: RDMA/srp: establezca scmnd->result solo cuando scmnd no sea NULL. Este cambio corrige la siguiente desreferencia del puntero NULL del kernel que blktests srp/007 reproduce ocasionalmente. ERROR: desreferencia del puntero NULL del kernel, dirección: 00000000000000170 PGD 0 P4D 0 Ups: 0002 [#1] PREEMPT SMP NOPTI CPU: 0 PID: 9 Comm: kworker/0:1H Kdump: cargado No contaminado 6.0.0-rc1+ #37 Hardware nombre: PC estándar QEMU (Q35 + ICH9, 2009), BIOS rel-1.15.0-29-g6a62e0cb0dfe-prebuilt.qemu.org 01/04/2014 Cola de trabajo: 0x0 (kblockd) RIP: 0010:srp_recv_done+0x176/0x500 [ ib_srp] Código: 00 4d 85 ff 0f 84 52 02 00 00 48 c7 82 80 02 00 00 00 00 00 00 4c 89 df 4c 89 14 24 e8 53 d3 4a f6 4c 8b 14 24 41 0f b6 2 13 <41> 89 87 70 01 00 00 41 0f b6 52 12 f6 c2 02 74 44 41 8b 42 1c b9 RSP: 0018:ffffaef7c0003e28 EFLAGS: 00000282 RAX: 0000000000000000 RBX: ffff9bc94 86dea60 RCX: 0000000000000000 RDX: 00000000000000102 RSI: ffffffffb76bbd0e RDI: 00000000ffffffff RBP: ffff9bc980099a00 R08 : 0000000000000001 R09: 0000000000000001 R10: ffff9bca53ef0000 R11: ffff9bc980099a10 R12: ffff9bc956e14000 R13: ffff9bc9836b9cb0 R14: 4480 R15: 0000000000000000 FS: 0000000000000000(0000) GS:ffff9bc97ec00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 080050033 CR2: 0000000000000170 CR3: 0000000007e04000 CR4: 00000000000006f0 Seguimiento de llamadas: __ib_process_cq+0xb7/0x280 [ib_core] ib_poll_handler+0x2b/0x130 [ib_core] q+0x93/0x150 __do_softirq+0xee/0x4b8 irq_exit_rcu+0xf7/0x130 sysvec_apic_timer_interrupt+0x8e/ 0xc0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: soc: brcmstb: pm-arm: corrige los errores de fuga de refcount y __iomem En brcmstb_pm_probe(), hay dos tipos de errores de fuga: (1) necesitamos agregar of_node_put() cuando for_each__matching_node() se rompe (2) necesitamos agregar iounmap() para cada iomap en la ruta de error

Se informó una vulnerabilidad de clave AES codificada en la aplicación Motorola GuideMe, junto con una falta de saneamiento de URI, que podría permitir que un atacante local lea archivos arbitrarios.

Una vulnerabilidad de secuestro PendingIntent en la aplicación Motorola Device Help (Genie) que podría permitir a atacantes locales acceder a archivos o interactuar con componentes de software no exportados sin permiso.

Se informó una vulnerabilidad de exportación de intención implícita en la aplicación Motorola Phone, que podría permitir el acceso no autorizado a un proveedor de contenido no exportado.

Se informó una vulnerabilidad de path traversal absoluta incorrecta para la aplicación Ready For, que permite que una aplicación local acceda a archivos sin autorización.