Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: no elimine el mapa en creater_process y device_release. No elimine el mapa de la lista en la ruta de error en fastrpc_init_create_process; en su lugar, llame a fastrpc_map_put para evitar el use-after-free. Tampoco lo elimine en fastrpc_device_release; en su lugar, llame a fastrpc_map_put. fastrpc_free_map es el único lugar adecuado para eliminar el mapa. Esto se llama solo después de que el recuento de referencias sea 0.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: misc: fastrpc: corrige use-after-free y ejecución en fastrpc_map_find Actualmente, hay una ventana de ejecución entre el punto en el que se desbloquea el mutex en fastrpc_map_lookup y el recuento de referencias aumenta (fastrpc_map_get ) en fastrpc_map_find, lo que también puede generar use-after-free. Entonces, fusionemos fastrpc_map_find con fastrpc_map_lookup, lo que nos permite proteger la lista de mapas tomando también el &fl->lock spinlock y el recuento de referencias, ya que el spinlock se liberará solo después. Agregue el argumento take_ref para que sea adecuado para todas las personas que llaman.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: wifi: mac80211: sdata puede ser NULL durante el inicio de AMPDU. ieee80211_tx_ba_session_handle_start() puede obtener NULL para sdata cuando se está realizando una desautenticación. Aquí un rastro que desencadena la ejecución con la prueba hostapd multi_ap_fronthaul_on_ap: (gdb) list *drv_ampdu_action+0x46 0x8b16 está en drv_ampdu_action (net/mac80211/driver-ops.c:396). 391 int ret = -EOPNOTSUPP; 392 393 podría_dormir(); 394 395 sdata = get_bss_sdata(sdata); 396 si (!check_sdata_in_driver(sdata)) 397 retorno -EIO; 398 399 trace_drv_ampdu_action(local, sdata, params); 400 wlan0: mover STA 02:00:00:00:03:00 al estado 3 wlan0: wlan0 asociado: desautenticar desde 02:00:00:00:03:00 por elección local (Razón: 3=DEAUTH_LEAVING) wlan3.sta1 : Sesión de BA abierta solicitada para 02:00:00:00:00:00 tid 0 wlan3.sta1: cuadro eliminado a 02:00:00:00:00:00 (puerto no autorizado) wlan0: moviendo STA 02:00:00 :00:03:00 al estado 2 wlan0: moviendo STA 02:00:00:00:03:00 al estado 1 wlan0: STA eliminada 02:00:00:00:03:00 wlan0: STA destruida 02:00: 00:00:03:00 ERROR: no se puede manejar el error de página para la dirección: fffffffffffffffb48 PGD 11814067 P4D 11814067 PUD 11816067 PMD 0 Ups: 0000 [#1] PREEMPT SMP PTI CPU: 2 PID: 133397 Comm: kworker/u16:1 Tainted : GW 6.1.0-rc8-wt+ #59 Nombre del hardware: PC estándar QEMU (Q35 + ICH9, 2009), BIOS 1.16.0-20220807_005459-localhost 01/04/2014 Cola de trabajo: phy3 ieee80211_ba_session_work [mac80211] RIP: _ampdu_acción +0x46/0x280 [mac80211] Código: 53 48 89 f3 be 89 01 00 00 e8 d6 43 bf ef e8 21 46 81 f0 83 bb a0 1b 00 00 04 75 0e 48 8b 9b 28 0d 00 00 48 81 10 0e 00 00 <8b> 93 58 09 00 00 f6 c2 20 0f 84 3b 01 00 00 8b 05 dd 1c 0f 00 85 RSP: 0018:ffffc900025ebd20 EFLAGS: 00010287 RAX: 0000000000000000 RBX: ffffffffffff1f0 RCX: ffff888102228240 RDX: 0000000080000000 RSI: ffffffff918c5de0 RDI: ffff888102228b40 RBP: ffffc900025ebd40 R08: 0000000000000001 R09: 0000000000000001 R10: 00000000000000001 R11: 0000000000000000 R12: 888118c18ec0 R13: 0000000000000000 R14: ffffc900025ebd60 R15: ffff888018b7efb8 FS: 0000000000000000(0000) GS:ffff88817a600000(0000) 0000000000000 CS: 0010 DS: 0000 ES : 0000 CR0: 0000000080050033 CR2: fffffffffffffb48 CR3: 0000000105228006 CR4: 0000000000170ee0 Seguimiento de llamadas: ieee80211_tx_ba_session_handle_start+0xd0/0x190 11] ieee80211_ba_session_work+0xff/0x2e0 [mac80211] Process_one_work+0x29f/0x620 trabajador_thread+0x4d/0x3d0? proceso_one_work+0x620/0x620 kthread+0xfb/0x120 ? kthread_complete_and_exit+0x20/0x20 ret_from_fork+0x22/0x30

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: mac80211: corrige la inicialización de rx->link y rx->link_sta Hay algunas rutas de código que no inicializan rx->link_sta correctamente. Esto provoca un bloqueo en lugares que asumen que rx->link_sta es válido si rx->sta es válido. Una instancia conocida se activa cuando se llama a __ieee80211_rx_h_amsdu desde fast-rx. Resulta en un bloqueo como este: ERROR: desreferencia del puntero NULL del kernel, dirección: 00000000000000a8 #PF: acceso de escritura del supervisor en modo kernel #PF: código_error(0x0002) - página no presente PGD 0 P4D 0 Ups: 0002 [#1 ] PREEMPT SMP PTI CPU: 1 PID: 506 Comm: mt76-usb-rx phy Contaminado: GE 6.1.0-debian64x+1.7 #3 Nombre del hardware: ZOTAC ZBOX-ID92/ZBOX-IQ01/ZBOX-ID92/ZBOX-IQ01, BIOS B220P007 21/05/2014 RIP: 0010:ieee80211_deliver_skb+0x62/0x1f0 [mac80211] Código: 00 48 89 04 24 e8 9e a7 c3 df 89 c0 48 03 1c c5 a0 ea 39 a1 4c 01 08 48 y siguientes 03 48 83 7d 28 00 74 11 48 8b 45 30 48 63 55 44 <48> 83 84 d0 a8 00 00 00 01 41 8b 86 c0 11 00 00 8d 50 fd 83 fa 01 RSP:ffff999040803b10 EFLAGS: 00010286 RAX: 0000000000000000 RBX: ffffb9903f496480 RCX: 0000000000000000 RDX: 0000000000000000 RSI: 0000000000000000 RDI: 00000000000000000 RBP: ffff999040803ce0 R08: 00000000000 R09: 0000000000000000 R10: 0000000000000000 R11: 0000000000000000 R12: ffff8d21828ac900 R13: 000000000000004a R14: 98ed89c0 R15: ffff8d2198ed8000 FS: 0000000000000000(0000) GS:ffff8d24afe80000( 0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 00000000000000a8 CR3: 0000000429810002 CR4: 00000000001 706e0 Seguimiento de llamadas: __ieee80211_rx_h_amsdu+0x1b5/0x240 [mac80211] ? ieee80211_prepare_and_rx_handle+0xcdd/0x1320 [mac80211]? __local_bh_enable_ip+0x3b/0xa0 ieee80211_prepare_and_rx_handle+0xcdd/0x1320 [mac80211]? prepare_transfer+0x109/0x1a0 [xhci_hcd] ieee80211_rx_list+0xa80/0xda0 [mac80211] mt76_rx_complete+0x207/0x2e0 [mt76] mt76_rx_poll_complete+0x357/0x5a0 [mt76u_rx_worker] +0x4f5/0x600 [mt76_usb] ? mt76_get_min_avg_rssi+0x140/0x140 [mt76] __mt76_worker_fn+0x50/0x80 [mt76] kthread+0xed/0x120 ? kthread_complete_and_exit+0x20/0x20 ret_from_fork+0x22/0x30 Dado que la inicialización de rx->link y rx->link_sta es bastante complicada y duplicada en muchos lugares, límpiela usando una función auxiliar para configurarla. [eliminar comprobación innecesaria de rx->sta->sta.mlo]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: f2fs: evitemos el pánico si no se crea extend_tree. Este parche evita el siguiente pánico. pc: __lookup_extent_tree+0xd8/0x760 lr: f2fs_do_write_data_page+0x104/0x87c sp: ffffffc010cbb3c0 x29: ffffffc010cbb3e0 x28: 0000000000000000 x27: ffffff8803e7f020 : ffffff8803e7ed40 x25: ffffff8803e7f020 x24: ffffffc010cbb460 x23: ffffffc010cbb480 x22: 0000000000000000 x21: 0000000000000000 x20: ffffffff22e9090 0x19: 0000000000000000 x18: ffffffc010c5d080 x17: 0000000000000000 x16: 0000000000000020 x15: ffffffdb1acdbb88 x14: ffffff888759e2b0 x13: 0000000000000000 x12: 02da49000 x11: 000000000a001200 x10: ffffff8803e7ed40 x9: ffffff8023195800 x8: ffffff802da49078 x7: 0000000000000001 x6: 0000000000000000 x5 000000000000006 x4: ffffffc010cbba28 x3: 0000000000000000 x2: ffffffc010cbb480 x1: 0000000000000000 x0: ffffff8803e7ed40 Rastreo de llamadas: __lookup_extent_tree+0xd8/0x760 f2fs_do_write_data_page+0x104/0x87c f2fs_write_single_data_page+0x420/0xb60 f 2fs_write_cache_pages+0x418/0xb1c __f2fs_write_data_pages+0x428/0x58c f2fs_write_data_pages+0x30/0x40 do_writepages+0x88/0x190 __writeback_single_inode+0x48/0x448 writeback_sb_inodes+0x468/0x9e8 __writeback_inodes_wb+0xb8/0x2a4 wb_writeback+0x33c/0x740 wb_do_writeback+0x2b4/0x400 wb_workfn+0xe4/0x34c Process_one_work+0x24c/0x5bc trabajador_thread+0x3e8/0xa 50 khilo+0x150/0x1b4

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: Bluetooth: hci_qca: corrige el apagado del controlador en serdev cerrado La devolución de llamada de apagado del controlador (que envía EDL_SOC_RESET al dispositivo a través de serdev) no debe invocarse cuando el dispositivo HCI no está abierto (por ejemplo, si hci_dev_open_sync () falló), porque el serdev y su TTY tampoco están abiertos. Omita también este paso si el dispositivo está apagado (qca_power_shutdown()). La devolución de llamada de apagado provoca use-after-free durante el reinicio del sistema con Qualcomm Atheros Bluetooth: no se puede manejar la solicitud de paginación del kernel en la dirección virtual 0072662f67726fd7... CPU: 6 PID: 1 Comm: systemd-shutdow Contaminado: GW 6.1.0-rt5- 00325-g8a5f56bcfcca #8 Nombre del hardware: Qualcomm Technologies, Inc. Robotics RB5 (DT) Rastreo de llamadas: tty_driver_flush_búfer+0x4/0x30 serdev_device_write_flush+0x24/0x34 qca_serdev_shutdown+0x80/0x130 [hci_uart] device_shutdown+0x15c/0x2 60 kernel_restart+0x48/0xac KASAN informe: ERROR: KASAN: use-after-free en tty_driver_flush_búfer+0x1c/0x50 Lectura de tamaño 8 en la dirección ffff16270c2e0018 por tarea systemd-shutdow/1 CPU: 7 PID: 1 Comunicaciones: systemd-shutdow No contaminado 6.1.0-next- 20221220-00014-gb85aaf97fb01-dirty #28 Nombre del hardware: Qualcomm Technologies, Inc. Robotics RB5 (DT) Rastreo de llamadas: dump_backtrace.part.0+0xdc/0xf0 show_stack+0x18/0x30 dump_stack_lvl+0x68/0x84 print_report+0x188/0x488 puerto +0xa4/0xf0 __asan_load8+0x80/0xac tty_driver_flush_búfer+0x1c/0x50 ttyport_write_flush+0x34/0x44 serdev_device_write_flush+0x48/0x60 qca_serdev_shutdown+0x124/0x274 dispositivo_shutdown+0x1e8/0x3 50 kernel_restart+0x48/0xb0 __do_sys_reboot+0x244/0x2d0 __arm64_sys_reboot+0x54/0x70 invoke_syscall +0x60/0x190 el0_svc_common.constprop.0+0x7c/0x160 do_el0_svc+0x44/0xf0 el0_svc+0x2c/0x6c el0t_64_sync_handler+0xbc/0x140 el0t_64_sync+0x190/0x194

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: efi: corrige NULL-deref en la ruta de error de inicio En los casos en los que los servicios de ejecución no son compatibles o se han deshabilitado, la cola de trabajo de los servicios de ejecución nunca se habrá asignado. No intente destruir la cola de trabajo incondicionalmente en el improbable caso de que la inicialización de EFI no pueda evitar la desreferenciación de un puntero NULL.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: plataforma/superficie: agregador: Agregar llamada faltante a ssam_request_sync_free() Aunque es poco común, ssam_request_sync_init() puede fallar. En ese caso, la solicitud debe liberarse mediante ssam_request_sync_free(). Actualmente se filtra. Arregla esto.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: plataforma/x86/amd: se corrigió la fuga de recuento en amd_pmc_probe pci_get_domain_bus_and_slot() toma referencia, la persona que llama debe liberar la referencia llamando a pci_dev_put() después de su uso. Llame a pci_dev_put() en la ruta del error para solucionar este problema.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/mlx5e: corrige la posible desreferencia nula de macsec al actualizar la entidad de seguridad MAC (SecY) Al actualizar la entidad de seguridad MAC (SecY) en la ruta de descarga de hw, se inicializa la asociación de seguridad (SA) de macsec se llama rutina. En caso de que el número de paquete extendido (epn) esté habilitado, los atributos salt y ssci se recuperan utilizando el contexto rx_sa del controlador MACsec que no está disponible al actualizar una propiedad SecY como encoding-sa, de ahí la desreferencia nula. Solucione utilizando el SA proporcionado para establecer esos atributos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net/mlx5e: IPoIB, bloquea interfaces PKEY con menos colas de recepción que las principales. Un usuario puede configurar un número arbitrario de colas de recepción al crear una interfaz a través de netlink. Esto no funciona para interfaces PKEY secundarias porque la interfaz secundaria utiliza los canales de recepción principales. Aunque el niño comparte los canales de recepción de los padres, la cantidad de colas de recepción es importante para la matriz channel_stats: el índice del canal de recepción de los padres se usa para acceder a los channel_stats del niño. Por lo tanto, la matriz debe ser al menos tan grande como el tamaño de la cola de recepción principal para que el recuento funcione correctamente y evitar accesos fuera de los límites. Este parche comprueba el escenario mencionado y devuelve un error al intentar crear la interfaz. El error se propaga al usuario.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: net/mlx5: corrige el acceso a las estadísticas de los comandos después de liberarlos. El comando puede fallar mientras se recarga el controlador y no puede aceptar comandos de firmware hasta que se reinicialice la interfaz de comandos. Dicho error de comando se registra en las estadísticas de comando. Esto da como resultado un acceso al puntero NULL a medida que la estructura de estadísticas de comando se libera y reasigna durante la recarga de mlx5 devlink (consulte el registro del kernel a continuación). Solucionelo haciendo que las estadísticas de comando se asignen estáticamente en la sonda del controlador. Registro del kernel: [2394.808802] ERROR: no se puede manejar la solicitud de paginación del kernel en 000000000002a9c0 [2394.810610] PGD 0 P4D 0 [2394.811811] Vaya: 0002 [#1] SMP NOPTI... [2394.815482] RIP: 10:native_queued_spin_lock_slowpath+0x183/0x1d0 ... [2394.829505] Seguimiento de llamadas: [2394.830667] _raw_spin_lock_irq+0x23/0x26 [2394.831858] cmd_status_err+0x55/0x110 [mlx5_core] [2394.833020] mlx5_access_reg+0xe7/0x1 50 [mlx5_core] [2394.834175] mlx5_query_port_ptys+0x78/0xa0 [mlx5_core] [2394.835337] mlx5e_ethtool_get_link_ksettings+0x74/0x590 [mlx5_core] [2394.836454]? kmem_cache_alloc_trace+0x140/0x1c0 [ 2394.837562] __rh_call_get_link_ksettings+0x33/0x100 [ 2394.838663] ? __rtnl_unlock+0x25/0x50 [ 2394.839755] __ethtool_get_link_ksettings+0x72/0x150 [ 2394.840862] duplex_show+0x6e/0xc0 [ 2394.841963] dev_attr_show+0x1c/0x40 [ 2394.8 43048] sysfs_kf_seq_show+0x9b/0x100 [ 2394.844123] seq_read+0x153/0x410 [ 2394.845187] vfs_read+ 0x91/0x140 [ 2394.846226] ksys_read+0x4f/0xb0 [ 2394.847234] do_syscall_64+0x5b/0x1a0 [ 2394.848228] entrada_SYSCALL_64_after_hwframe+0x65/0xca