Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: se corrige un posible UAF en nfsd4_cb_getattr_release Una vez que eliminamos la referencia de delegación, ya no es seguro acceder a los campos integrados en ella. Hagan esto al final.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: asegúrese de que nfsd4_fattr_args.context esté en cero. Si nfsd4_encode_fattr4 termina haciendo un "goto out" antes de que podamos comprobar la etiqueta de seguridad, entonces args.context se establecerá en basura no inicializada en la pila, que luego intentaremos liberar. Inicialícelo antes.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: video/aperture: opcionalmente hacer coincidir el dispositivo en sysfb_disable() En aperture_remove_conflicting_pci_devices(), actualmente solo llamamos a sysfb_disable() en dispositivos de clase vga. Esto lleva al siguiente problema cuando el dispositivo principal no es compatible con VGA: 1. Un dispositivo PCI con una clase que no es VGA es la pantalla de arranque 2. Ese dispositivo se sondea primero y no es un dispositivo VGA, por lo que no se llama a sysfb_disable(), pero los recursos del dispositivo se liberan mediante aperture_detach_platform_device() 3. La GPU no principal tiene una clase VGA y termina llamando a sysfb_disable() 4. Desreferencia de puntero NULL a través de sysfb_disable() ya que los recursos ya se han liberado mediante aperture_detach_platform_device() cuando fue llamado por el otro dispositivo. Solucione esto pasando un puntero de dispositivo a sysfb_disable() y verificando el dispositivo para determinar si debemos ejecutarlo o no. v2: Arreglar la compilación cuando CONFIG_SCREEN_INFO no está configurado v3: Mover la verificación del dispositivo al mutex Eliminar la variable principal en aperture_remove_conflicting_pci_devices() Eliminar __init en pci sysfb_pci_dev_is_enabled()

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/v3d: Deshabilitar la preempción mientras se actualizan las estadísticas de la GPU Olvidamos deshabilitar la preempción alrededor del par write_seqcount_begin/end() mientras se actualizan las estadísticas de la GPU: [ ] ADVERTENCIA: CPU: 2 PID: 12 en include/linux/seqlock.h:221 __seqprop_assert.isra.0+0x128/0x150 [v3d] [ ] Cola de trabajo: v3d_bin drm_sched_run_job_work [gpu_sched] <...snip...> [ ] Rastreo de llamadas: [ ] __seqprop_assert.isra.0+0x128/0x150 [v3d] [ ] v3d_job_start_stats.isra.0+0x90/0x218 [v3d] [ ] Arréglalo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu/mes: se corrige el desbordamiento del búfer de anillo de mes; esperar a que haya suficiente espacio en la memoria antes de escribir paquetes mes para evitar el desbordamiento del búfer de anillo. v2: se corrige el squash en sched_hw_submission (seleccionado del commit 34e087e8920e635c62e2ed6a758b0cd27f836d13)

El complemento Avada | Website Builder For WordPress & eCommerce para WordPress es vulnerable a Cross-site Scripting almacenado a través del shortcode fusion_button del complemento en todas las versiones hasta la 3.11.9 incluida, debido a una desinfección de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. NOTA: Esta vulnerabilidad se solucionó parcialmente en la versión 3.11.9. Se agregó un refuerzo adicional para vectores de ataque alternativos en la versión 3.11.10.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: evitar usar un objeto nulo de framebuffer En lugar de usar state->fb->obj[0] directamente, obtener el objeto de framebuffer llamando a drm_gem_fb_get_obj() y devolver un código de error cuando el objeto es nulo para evitar usar un objeto nulo de framebuffer. (seleccionado del commit 73dd0ad9e5dad53766ea3e631303430116f834b3)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: selinux,smack: no omitir la comprobación de permisos en el gancho inode_setsecctx Marek Gresko informa que el usuario root en un cliente NFS puede cambiar las etiquetas de seguridad en los archivos de un sistema de archivos NFS que se exporta con el squashing de root habilitado. El final del comentario de kerneldoc para __vfs_setxattr_noperm() indica: * Esta función requiere que el llamador bloquee el i_mutex del inodo antes de * que se ejecute. También supone que el llamador realizará las comprobaciones de permisos * apropiadas. nfsd_setattr() realiza comprobaciones de permisos a través de fh_verify() y nfsd_permission(), pero estos no realizan todas las mismas comprobaciones de permisos que realizan security_inode_setxattr() y sus ganchos LSM relacionados. Dado que nfsd_setattr() es el único consumidor de security_inode_setsecctx(), la solución más sencilla parece ser reemplazar la llamada a __vfs_setxattr_noperm() con una llamada a __vfs_setxattr_locked(). Esto soluciona el problema anterior y tiene el beneficio adicional de hacer que nfsd recupere las delegaciones conflictivas en un archivo cuando un cliente intenta cambiar su etiqueta de seguridad.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: binfmt_elf_fdpic: se corrige el cálculo del tamaño de AUXV cuando se define ELF_HWCAP2 create_elf_fdpic_tables() no tiene en cuenta correctamente el espacio para el vector AUX cuando una arquitectura tiene definido ELF_HWCAP2. Antes del commit 10e29251be0e ("binfmt_elf_fdpic: fix /proc//auxv"), esto provocaba que la última entrada del vector AUX se estableciera en cero, pero con ese cambio se produce un ERROR del kernel. Corrija esto añadiendo uno al número de entradas AUXV (nitems) cuando se define ELF_HWCAP2.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: btrfs: se corrige un Use After Free al encontrar errores dentro de btrfs_submit_chunk() [BUG] Hay un informe interno de que KASAN informa un Use After Free, con el siguiente backtrace: BUG: KASAN: slab-use-after-free en btrfs_check_read_bio+0xa68/0xb70 [btrfs] Lectura de tamaño 4 en la dirección ffff8881117cec28 por la tarea kworker/u16:2/45 CPU: 1 UID: 0 PID: 45 Comm: kworker/u16:2 No contaminado 6.11.0-rc2-next-20240805-default+ #76 Nombre del hardware: QEMU Standard PC (i440FX + PIIX, 1996), BIOS rel-1.16.2-3-gd478f380-rebuilt.opensuse.org 01/04/2014 Cola de trabajo: btrfs-endio btrfs_end_bio_work [btrfs] Seguimiento de llamadas: dump_stack_lvl+0x61/0x80 print_address_description.constprop.0+0x5e/0x2f0 print_report+0x118/0x216 kasan_report+0x11d/0x1f0 btrfs_check_read_bio+0xa68/0xb70 [btrfs] process_one_work+0xce0/0x12a0 worker_thread+0x717/0x1250 kthread+0x2e3/0x3c0 ret_from_fork+0x2d/0x70 ret_from_fork_asm+0x11/0x20 Asignado por la tarea 20917: kasan_save_stack+0x37/0x60 kasan_save_track+0x10/0x30 __kasan_slab_alloc+0x7d/0x80 kmem_cache_alloc_noprof+0x16e/0x3e0 mempool_alloc_noprof+0x12e/0x310 bio_alloc_bioset+0x3f0/0x7a0 btrfs_bio_alloc+0x2e/0x50 [btrfs] enviar_extensión_página+0x4d1/0xdb0 [btrfs] btrfs_do_readpage+0x8b4/0x12a0 [btrfs] btrfs_readahead+0x29a/0x430 [btrfs] lectura_páginas+0x1a7/0xc60 caché_página_sin_límites+0x2ad/0x560 mapa_archivo_obtener_páginas+0x629/0xa20 mapa_archivo_leer+0x335/0xbf0 lectura_vfs+0x790/0xcb0 lectura_ksys+0xfd/0x1d0 llamada_al_sistema_64+0x6d/0x140 entrada_SYSCALL_64_después_hwframe+0x4b/0x53 Liberado por la tarea 20917: pila_guardado_kasan+0x37/0x60 pista_guardado_kasan+0x10/0x30 información_libre_guardado_kasan+0x37/0x50 __kasan_slab_free+0x4b/0x60 kmem_cache_free+0x214/0x5d0 bio_free+0xed/0x180 end_bbio_data_read+0x1cc/0x580 [btrfs] btrfs_submit_chunk+0x98d/0x1880 [btrfs_submit_bio+0x33/0x7 0 [btrfs] submit_one_bio+0xd4/0x130 [btrfs] submit_extent_page+0x3ea/0xdb0 [btrfs] btrfs_do_readpage+0x8b4/0x12a0 [btrfs] btrfs_readahead+0x29a/0x430 [btrfs] read_pages+0x1a7/0xc60 page_cache_ra_unbounded+0x2ad/0x560 filemap_get_pages+0x629/0xa20 filemap_read+0x335/0xbf0 vfs_read+0x790/0xcb0 ksys_read+0xfd/0x1d0 do_syscall_64+0x6d/0x140 entry_SYSCALL_64_after_hwframe+0x4b/0x53 [CAUSA] Aunque no puedo reproducir el error, el informe en sí es lo suficientemente bueno como para determinar la causa. El seguimiento de llamadas es el contexto de la cola de trabajo de endio normal, pero el seguimiento de liberación por tarea muestra que durante btrfs_submit_chunk() ya encontramos un error crítico y está llamando a btrfs_bio_end_io() para que se solucione el error. Y la función endio original llamó a bio_put() para liberar todo el bio. Esto significa una doble liberación, lo que provoca un Use After Free, por ejemplo: 1. Ingrese a btrfs_submit_bio() con una biografía leída La longitud de la biografía leída es de 128K, cruzando dos franjas de 64K. 2. La primera ejecución de btrfs_submit_chunk() 2.1 Llame a btrfs_map_block(), que devuelve 64K 2.2 Llame a btrfs_split_bio() Ahora hay dos biografías, una que hace referencia a los primeros 64K, la otra que hace referencia a los segundos 64K. 2.3 Se envía la primera mitad. 3. La segunda ejecución de btrfs_submit_chunk() 3.1 Llamar a btrfs_map_block(), que de alguna manera falló Ahora llamamos a btrfs_bio_end_io() para manejar el error 3.2 btrfs_bio_end_io() llama a la función endio original que es end_bbio_data_read(), y llama a bio_put() para el bio original. Ahora el bio original está liberado. 4. El primer bio de 64K enviado terminó Ahora llamamos a btrfs_check_read_bio() e intentamos avanzar el iter del bio. Pero como el bio original (y por lo tanto su iter) ya está liberado, activamos el use-after free anterior. E incluso si la memoria no está envenenada/corrompida, luego llamaremos a la función endio original, causando una doble liberación. [SOLUCIÓN] En lugar de llamar a btrfs_bio_end_io(), --truncada---

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: erofs: se corrige el acceso fuera de los límites cuando z_erofs_gbuf_growsize() falla parcialmente Si z_erofs_gbuf_growsize() falla parcialmente en un búfer global debido a un error en la asignación de memoria o inyección de fallas (como lo informó syzbot [1]), se deben liberar nuevas páginas comparándolas con las páginas existentes para evitar fugas de memoria. Sin embargo, la matriz gbuf->pages[] anterior puede no ser lo suficientemente grande, lo que puede provocar un acceso fuera de los límites o una desreferencia de ptr nula. Corrija esto verificando con gbuf->nrpages de antemano. [1] https://lore.kernel.org/r/000000000000f7b96e062018c6e3@google.com

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: corregir nfsd4_deleg_getattr_conflict en presencia de una concesión de terceros No es seguro desreferenciar fl->c.flc_owner sin confirmar primero que fl->fl_lmops es el administrador esperado. nfsd4_deleg_getattr_conflict() prueba fl_lmops pero ignora en gran medida el resultado y asume que flc_owner es una nfs4_delegation de todos modos. Esto es incorrecto. Con este parche restauramos el caso "!= &nfsd_lease_mng_ops" para que se comporte como lo hacía antes del cambio mencionado a continuación. Esto es lo mismo que el código actual, pero sin ninguna referencia a una posible delegación.