Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe: Liberar trabajo antes de xe_exec_queue_put La liberación de trabajo depende de que job->vm sea válido, el último xe_exec_queue_put puede destruir la máquina virtual. Evite UAF liberando trabajo antes de xe_exec_queue_put. (seleccionado de el commit 32a42c93b74c8ca6d0915ea3eba21bceff53042f)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe: Se corrige la falta de destrucción de la cola de trabajo en xe_gt_pagefault. Al recargar el controlador, nunca liberamos la memoria para las colas de trabajo del contador de acceso y de Pagefault. Agregue esas llamadas de destrucción aquí. (seleccionadas de el commit 7586fc52b14e0b8edd0d1f8a434e0de2078b7b2b)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/xe: Fix opregion leak Como parte de la pantalla, lo ideal sería que la configuración y la limpieza las hiciera la propia pantalla. Sin embargo, se trata de una refactorización más grande que debe realizarse tanto en i915 como en xe. Por ahora, solo arregle la fuga: objeto sin referencia 0xffff8881a0300008 (tamaño 192): comm "modprobe", pid 4354, jiffies 4295647021 volcado hexadecimal (primeros 32 bytes): 00 00 87 27 81 88 ff ff 18 80 9b 00 00 c9 ff ff ...'............ 18 81 9b 00 00 c9 ff ff 00 00 00 00 00 00 00 00 ................ backtrace (crc 99260e31): [] kmemleak_alloc+0x4b/0x80 [] kmalloc_trace_noprof+0x312/0x3d0 [] intel_opregion_setup+0x89/0x700 [xe] [] xe_display_init_noirq+0x2f/0x90 [xe] [] xe_device_probe+0x7a3/0xbf0 [xe] [] xe_pci_probe+0x333/0x5b0 [xe] [] local_pci_probe+0x48/0xb0 [] pci_device_probe+0xc8/0x280 [] really_probe+0xf8/0x390 [] __driver_probe_device+0x8a/0x170 [] driver_probe_device+0x23/0xb0 [] __driver_attach+0xc7/0x190 [] bus_for_each_dev+0x7d/0xd0 [] driver_attach+0x1e/0x30 [] bus_add_driver+0x117/0x250 (seleccionado de el commit) 6f4e43a2f771b737d991142ec4f6d4b7ff31fbb4)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: workqueue: Se corrige el error de 'desbordamiento de sustracción' de UBSAN en shift_and_mask() UBSAN informa el siguiente error de 'desbordamiento de sustracción' al arrancar en una máquina virtual en Android: | Error interno: UBSAN: desbordamiento de sustracción de enteros: 00000000f2005515 [#1] PREEMPT SMP | Módulos vinculados en: | CPU: 0 PID: 1 Comm: swapper/0 No contaminado 6.10.0-00006-g3cbe9e5abd46-dirty #4 | Nombre del hardware: linux,dummy-virt (DT) | pstate: 600000c5 (nZCv daIF -PAN -UAO -TCO -DIT -SSBS BTYPE=--) | pc : cancel_delayed_work+0x34/0x44 | lr : cancelar_trabajo_retrasado+0x2c/0x44 | sp : ffff80008002ba60 | x29: ffff80008002ba60 x28: 0000000000000000 x27: 0000000000000000 | x26: 0000000000000000 x25: 0000000000000000 x24: 0000000000000000 | x23: 0000000000000000 x22: 0000000000000000 x21: ffff1f65014cd3c0 | x20: ffffc0e84c9d0da0 x19: ffffc0e84cab3558 x18: ffff800080009058 | x17: 00000000247ee1f8 x16: 00000000247ee1f8 x15: 00000000bdcb279d | x14: 0000000000000001 x13: 0000000000000075 x12: 00000a0000000000 | x11: ffff1f6501499018 x10: 00984901651fffff x9 : ffff5e7cc35af000 | x8 : 0000000000000001 x7 : 3d4d455453595342 x6 : 000000004e514553 | x5 : ffff1f6501499265 x4 : ffff1f650ff60b10 x3 : 0000000000000620 | x2 : ffff80008002ba78 x1 : 0000000000000000 x0 : 0000000000000000 | Rastreo de llamadas: | cancel_delayed_work+0x34/0x44 | deferred_probe_extend_timeout+0x20/0x70 | driver_register+0xa8/0x110 | __platform_driver_register+0x28/0x3c | syscon_init+0x24/0x38 | hacer_una_initcall+0xe4/0x338 | hacer_initcall_level+0xac/0x178 | hacer_initcalls+0x5c/0xa0 | hacer_configuración_básica+0x20/0x30 | kernel_init_freeable+0x8c/0xf8 | kernel_init+0x28/0x1b4 | ret_from_fork+0x10/0x20 | Código: f9000fbf 97fffa2f 39400268 37100048 (d42aa2a0) | ---[ fin de seguimiento 000000000000000 ]--- | Pánico del núcleo: no se sincroniza: UBSAN: desbordamiento de sustracción de enteros: excepción fatal Esto se debe a que shift_and_mask() usa una función inmediata con signo para construir la máscara y se la llama con un desplazamiento de 31 (WORK_OFFQ_POOL_SHIFT), por lo que termina disminuyendo desde INT_MIN. Use una constante sin signo '1U' para generar la máscara en shift_and_mask().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bnxt_en: Se ha corregido la doble anulación de la asignación de DMA para XDP_REDIRECT. Se ha eliminado la llamada dma_unmap_page_attrs() en la ruta de código XDP_REDIRECT del controlador. Esto debería haberse eliminado cuando dejamos que el grupo de páginas se encargara de la asignación de DMA. Este error provoca la advertencia: ADVERTENCIA: CPU: 7 PID: 59 en drivers/iommu/dma-iommu.c:1198 iommu_dma_unmap_page+0xd5/0x100 CPU: 7 PID: 59 Comm: ksoftirqd/7 Contaminado: GW 6.8.0-1010-gcp #11-Ubuntu Nombre del hardware: Dell Inc. PowerEdge R7525/0PYVT1, BIOS 2.15.2 04/02/2024 RIP: 0010:iommu_dma_unmap_page+0xd5/0x100 Código: 89 ee 48 89 df e8 cb f2 69 ff 48 83 c4 08 5b 41 5c 41 5d 41 5e 41 5f 5d 31 c0 31 d2 31 c9 31 f6 31 ff 45 31 c0 e9 ab 17 71 00 <0f> 0b 48 83 c4 08 5b 41 5c 41 5d 41 5e 41 5f 5d 31 c0 31 d2 31 c9 RSP: 0018:ffffab1fc0597a48 EFLAGS: 00010246 RAX: 0000000000000000 RBX: ffff99ff838280c8 RCX: 000000000000000 RDX: 0000000000000000 RSI: 00000000000000000 RDI: 0000000000000000 RBP: ffffab1fc0597a78 R08: 0000000000000002 R09: ffffab1fc0597c1c R10: ffffab1fc0597cd3 R11: ffff99ffe375acd8 R12: 00000000e65b9000 R13: 0000000000000050 R14: 0000000000001000 R15: 0000000000000002 FS: 000000000000000(0000) GS:ffff9a06efb80000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000565c34c37210 CR3: 00000005c7e3e000 CR4: 0000000000350ef0 ? mostrar_regs+0x6d/0x80 ? __warn+0x89/0x150 ? iommu_dma_unmap_page+0xd5/0x100 ? informar_error+0x16a/0x190 ? manejar_error+0x51/0xa0 ? dma_unmap_page_attrs+0x55/0x220 ? bpf_prog_4d7e87c0d30db711_xdp_dispatcher+0x64/0x9f bnxt_rx_xdp+0x237/0x520 [bnxt_es] bnxt_rx_pkt+0x640/0xdd0 [bnxt_es] __bnxt_poll_work+0x1a1/0x3d0 [bnxt_es] bnxt_poll+0xaa/0x1e0 [bnxt_es] __napi_poll+0x33/0x1e0 net_rx_action+0x18a/0x2f0

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/msm/dpu: limpiar FB si dpu_format_populate_layout falla Si dpu_format_populate_layout() falla, entonces FB se prepara, pero no se limpia. Esto termina filtrando el pin_count en el objeto GEM y provoca un splat durante el cierre del archivo DRM: msm_obj->pin_count ADVERTENCIA: CPU: 2 PID: 569 en drivers/gpu/drm/msm/msm_gem.c:121 update_lru_locked+0xc4/0xcc [...] Rastreo de llamadas: update_lru_locked+0xc4/0xcc put_pages+0xac/0x100 msm_gem_free_object+0x138/0x180 drm_gem_object_free+0x1c/0x30 drm_gem_object_handle_put_unlocked+0x108/0x10c drm_gem_object_release_handle+0x58/0x70 idr_for_each+0x68/0xec drm_gem_release+0x28/0x40 drm_file_free+0x174/0x234 drm_release+0xb0/0x160 __fput+0xc0/0x2c8 __fput_sync+0x50/0x5c __arm64_sys_close+0x38/0x7c anybody_syscall+0x48/0x118 el0_svc_common.constprop.0+0x40/0xe0 do_el0_svc+0x1c/0x28 el0_svc+0x4c/0x120 el0t_64_sync_handler+0x100/0x12c el0t_64_sync+0x190/0x194 marca de evento irq: 129818 hardirqs habilitados por última vez en (129817): [] console_unlock+0x118/0x124 hardirqs deshabilitados por última vez en (129818): [] el1_dbg+0x24/0x8c softirqs habilitados por última vez en (129808): [] handle_softirqs+0x4c8/0x4e8 softirqs deshabilitados por última vez en (129785): [] __do_softirq+0x14/0x20 Patchwork: https://patchwork.freedesktop.org/patch/600714/

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: flowtable: validar encabezado de VLAN Asegúrese de que haya suficiente espacio para acceder al campo de protocolo del encabezado de VLAN, valídelo una vez antes de la búsqueda de la tabla de flujo. ======================================================= ERROR: KMSAN: valor no inicializado en nf_flow_offload_inet_hook+0x45a/0x5f0 net/netfilter/nf_flow_table_inet.c:32 nf_flow_offload_inet_hook+0x45a/0x5f0 net/netfilter/nf_flow_table_inet.c:32 nf_hook_entry_hookfn include/linux/netfilter.h:154 [en línea] nf_hook_slow+0xf4/0x400 net/netfilter/core.c:626 nf_hook_ingress include/linux/netfilter_netdev.h:34 [en línea] nf_ingress net/core/dev.c:5440 [en línea]

En el kernel de Linux se ha resuelto la siguiente vulnerabilidad: ipv6: evitar posible UAF en ip6_xmit() Si skb_expand_head() devuelve NULL, skb se ha liberado y el dst/idev asociado también podría haberse liberado. Debemos utilizar rcu_read_lock() para evitar un posible UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: dsa: mv88e6xxx: Se corrige el acceso fuera de los límites. Si una violación de ATU fue causada por una operación de carga de CPU, el SPID podría ser mayor que DSA_MAX_PORTS (el tamaño de la matriz mv88e6xxx_chip.ports[]).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mptcp: pm: evitar posible UaF al seleccionar endp select_local_address() y select_signal_address() seleccionan una entrada de endpoint de la lista dentro de una sección protegida de RCU, pero devuelven una referencia a ella, para leerla más tarde. Si se desreferencia la entrada después del desbloqueo de RCU, leer información podría causar un Use-after-Free. Una solución simple es copiar la información requerida mientras se está dentro de la sección protegida de RCU para evitar cualquier riesgo de UaF más adelante. Es posible que el ID de la dirección deba modificarse más tarde para manejar el caso ID0 más tarde, por lo que una copia parece ser una buena opción.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: Validar el tamaño binario de TA Agregar validación del tamaño binario de TA para evitar escritura OOB. (seleccionado de el commit c0a04e3570d72aaf090962156ad085e37c62e442)

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ipv6: se ha corregido un posible UAF en ip6_finish_output2() Si skb_expand_head() devuelve NULL, se ha liberado skb y también se podría haber liberado el dst/idev asociado. Necesitamos mantener rcu_read_lock() para asegurarnos de que el dst y el idev asociado estén activos.