Vulnerabilidades

El tema Betheme para WordPress es vulnerable a Cross-site Scripting almacenado a través de la carga de archivos SVG en todas las versiones hasta la 27.5.5 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.

El complemento Classified Listing – Classified ads & Business Directory Plugin para WordPress es vulnerable al acceso no autorizado debido a una falta de verificación de capacidad en varias funciones como export_forms(), import_forms(), update_fb_options() y muchas más en todas las versiones hasta la 3.1.7 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, modifiquen formularios y otras configuraciones.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: libfs: arregla lecturas de directorio infinitas para el directorio offset Después de cambiar las operaciones de directorio tmpfs de simple_dir_operations a simple_offset_dir_operations, cada cambio de nombre que se produzca llenará new dentry en el árbol de maple del directorio de destino (&SHMEM_I(inode)->dir_offsets->mt) con una clave libre que comienza con octx->newx_offset, y luego establece newx_offset igual a la clave libre + 1. Esto provocará una combinación de lectura de directorio infinita con el cambio de nombre ocurrido al mismo tiempo, lo que falla generic/736 en xfstests (los detalles se muestran a continuación). 1. crear 5000 archivos (1 2 3...) bajo un directorio 2. llamar a readdir(man 3 readdir) una vez, y obtener una entrada 3. renombrar(entrada, "TEMPFILE"), luego renombrar("TEMPFILE", entrada) 4. repetir 2~3 veces, hasta que readdir no devuelva nada o repetimos demasiadas veces (tmpfs interrumpe la prueba con la segunda condición) Elegimos la misma lógica que el commit 9b378f6ad48cf ("btrfs: arregla lecturas infinitas de directorio") para arreglarlo, registrar el last_index cuando abrimos el directorio, y no emitir la entrada cuyo índice >= last_index. El file->private_data que ahora se usa en el directorio de desplazamiento se puede usar directamente para hacer esto, y también actualizamos el last_index cuando buscamos el archivo dir. [brauner: solo actualizamos last_index después de la búsqueda cuando el desplazamiento es cero como sugirió Jan]

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Revertir "serial: 8250_omap: Establecer la consola genpd siempre activada si no hay suspensión de consola". Esto revierte el commit 68e6939ea9ec3d6579eadeab16060339cdeaf940. Kevin informó que esto provoca un bloqueo durante la suspensión en plataformas que no usan dominios de PM.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: workqueue: Fix spruious data race in __flush_work() Al vaciar un elemento de trabajo para su cancelación, __flush_work() sabe que posee exclusivamente el elemento de trabajo a través de su bit PENDING. 134874e2eee9 ("workqueue: Allow cancel_work_sync() and disable_work() from atomic contexts on BH work items") agregó una lectura de @work->data para determinar si se debe usar la espera activa para los elementos de trabajo de BH que se están cancelando. Si bien la lectura es segura cuando @from_cancel, @work->data se leyó antes de probar @from_cancel para simplificar la estructura del código: data = *work_data_bits(work); if (from_cancel && !WARN_ON_ONCE(data & WORK_STRUCT_PWQ) && (data & WORK_OFFQ_BH)) { Si bien los datos leídos nunca se usaron si !@from_cancel, esto podría activar la detección de ejecución de datos de KCSAN de manera espuria: ====================================================================== ERROR: KCSAN: carrera de datos en __flush_work / __flush_work escribe en 0xffff8881223aa3e8 de 8 bytes por la tarea 3998 en la CPU 0: instrument_write include/linux/instrumented.h:41 [en línea] ___set_bit include/asm-generic/bitops/instrumented-non-atomic.h:28 [en línea] insert_wq_barrier kernel/workqueue.c:3790 [en línea] start_flush_work kernel/workqueue.c:4142 [en línea] __flush_work+0x30b/0x570 kernel/workqueue.c:4178 flush_work kernel/workqueue.c:4229 [en línea] ... leído hasta 0xffff8881223aa3e8 de 8 bytes por la tarea 50 en la CPU 1: __flush_work+0x42a/0x570 kernel/workqueue.c:4188 flush_work kernel/workqueue.c:4229 [en línea] flush_delayed_work+0x66/0x70 kernel/workqueue.c:4251 ... valor cambiado: 0x0000000000400000 -> 0xffff88810006c00d Reorganice el código para que @from_cancel se pruebe antes de acceder a @work->data. El único problema es que se activa la detección de KCSAN de manera espuria. Esto no debería necesitar READ_ONCE() ni otros calificadores de acceso. No hay cambios funcionales.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe: restablecer asignaciones mmio con devm Establezca nuestras diversas asignaciones mmio en NULL. Esto debería facilitar la detección de algo malicioso que intente alterar mmio después de la eliminación del dispositivo. Por ejemplo, podríamos desasignar todo y luego comenzar a acceder a alguna dirección mmio que ya haya sido desasignada por nosotros y luego reasignada por otra cosa, lo que causaría todo tipo de desastres.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tty: serial: fsl_lpuart: marcar el último ocupado antes de uart_add_one_port Con "earlycon initcall_debug=1 loglevel=8" en bootargs, el kernel a veces se bloquea al iniciar. Esto se debe a que la consola normal aún no está lista, pero se llama a la suspensión en tiempo de ejecución, por lo que la consola temprana putchar se bloqueará esperando que se establezca TRDE en UARTSTAT. El controlador lpuart tiene un retraso de suspensión automática establecido en 3000 ms, pero durante uart_add_one_port, se agregará un dispositivo secundario serial ctrl y se sondeará con su tiempo de ejecución pm habilitado (consulte serial_ctrl.c). La ruta de la llamada a la suspensión en tiempo de ejecución es: device_add |-> bus_probe_device |->device_initial_probe |->__device_attach |-> pm_runtime_get_sync(dev->parent); |-> pm_request_idle(dev); |-> pm_runtime_put(dev->parent); Por lo tanto, al final, antes de que la consola normal esté lista, el tiempo de ejecución de lpuart get se suspende. Y el putchar de earlycon se bloquea. Para solucionar el problema, marque la última vez que está ocupado justo después de pm_runtime_enable; tres segundos son suficientes para cambiar de la consola de arranque a la consola normal.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: pinctrl: qcom: x1e80100: Corregir desplazamientos de pines especiales Elimine el desplazamiento erróneo 0x100000 para evitar que las placas fallen en la configuración del estado del pin, así como para que los cambios de estado previstos surtan efecto.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/vmwgfx: Corrige prime con búferes externos Asegúrate de que el mapeo de búferes externos pase por la interfaz dma_buf en lugar de intentar acceder a las páginas directamente. Los búferes externos podrían no proporcionar acceso directo a páginas legibles/escribibles, así que para asegurarse de que los bo creados a partir de dma_bufs externos puedan leerse, se debe usar la interfaz dma_buf. Corrige fallas en kms_prime de IGT con vgem. El uso regular del escritorio no activará esto debido al hecho de que las máquinas virtuales no tendrán múltiples GPU, pero permite una mejor cobertura de pruebas en IGT.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: thunderbolt: marcar XDomain como desconectado cuando se quita el enrutador Noté que cuando hacemos una actualización NVM del enrutador de host discreto y se elimina en caliente del lado PCIe como resultado de la autenticación del firmware NVM, si hay otro host conectado con rutas habilitadas, nos quedamos sin desmantelarlos. Esto se debe al hecho de que el controlador de red Thunderbolt también intenta limpiar las rutas y termina bloqueando en tb_disconnect_xdomain_paths() esperando el bloqueo del dominio. Sin embargo, en este punto ya limpiamos las rutas en tb_stop(), por lo que realmente no hay necesidad de que tb_disconnect_xdomain_paths() haga eso más. Además, ya verifica si el XDomain está desconectado y se retira temprano, así que aproveche eso y marque el XDomain como desconectado cuando eliminemos el enrutador principal.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: KVM: arm64: Hacer que ICC_*SGI*_EL1 no esté definido en ausencia de un vGICv3 En un sistema con un GICv3, si un invitado no se ha configurado con GICv3 y el host no es capaz de emular GICv2, una escritura en cualquiera de los registros ICC_*SGI*_EL1 se atrapa en EL2. Por lo tanto, intentamos emular el acceso a SGI, solo para encontrar un puntero NULL ya que no se asigna ninguna interrupción privada (no hay GIC, ¿recuerdas?). La solución obvia es darle al invitado lo que se merece, en forma de una excepción UNDEF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/vmwgfx: evitar la desasignación de búferes de lectura activos Las rutas kms mantienen activo un mapa persistente para leer y comparar el búfer del cursor. Estos mapas pueden competir entre sí en un escenario simple donde: a) búfer "a" mapeado para actualización b) búfer "a" mapeado para comparación c) hacer la comparación d) desasignar "a" para comparación e) actualizar el cursor f) desasignar "a" para actualización En el paso "e", el búfer ha sido desasignado y el contenido de lectura es falso. Evite la desasignación de búferes de lectura activos simplemente llevando un recuento de cuántas rutas tienen mapas activos actualmente y desasignándolos solo cuando el recuento llegue a 0.