Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nfsd: borrar acl_access/acl_default después de liberarlos Si la obtención de acl_default falla, acl_access y acl_default se liberarán simultáneamente. Sin embargo, acl_access aún conservará un puntero que apunta al posix_acl liberado, lo que activará una ADVERTENCIA en nfs3svc_release_getacl como esta: ------------[ cortar aquí ]------------ refcount_t: desbordamiento insuficiente; use after free. ADVERTENCIA: CPU: 26 PID: 3199 at lib/refcount.c:28 refcount_warn_saturate+0xb5/0x170 Modules linked in: CPU: 26 UID: 0 PID: 3199 Comm: nfsd Not tainted 6.12.0-rc6-00079-g04ae226af01f-dirty #8 Hardware name: QEMU Standard PC (i440FX + PIIX, 1996), BIOS 1.16.1-2.fc37 04/01/2014 RIP: 0010:refcount_warn_saturate+0xb5/0x170 Code: cc cc 0f b6 1d b3 20 a5 03 80 fb 01 0f 87 65 48 d8 00 83 e3 01 75 e4 48 c7 c7 c0 3b 9b 85 c6 05 97 20 a5 03 01 e8 fb 3e 30 ff <0f> 0b eb cd 0f b6 1d 8a3 RSP: 0018:ffffc90008637cd8 EFLAGS: 00010282 RAX: 0000000000000000 RBX: 0000000000000000 RCX: ffffffff83904fde RDX: dffffc0000000000 RSI: 0000000000000008 RDI: ffff88871ed36380 RBP: ffff888158beeb40 R08: 0000000000000001 R09: fffff520010c6f56 R10: ffffc90008637ab7 R11: 0000000000000001 R12: 0000000000000001 R13: ffff888140e77400 R14: ffff888140e77408 R15: ffffffff858b42c0 FS: 0000000000000000(0000) GS:ffff88871ed00000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000562384d32158 CR3: 000000055cc6a000 CR4: 00000000000006f0 DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000 DR3: 0000000000000000 DR6: 00000000fffe0ff0 DR7: 0000000000000400 Call Trace: ? refcount_warn_saturate+0xb5/0x170 ? __warn+0xa5/0x140 ? refcount_warn_saturate+0xb5/0x170 ? report_bug+0x1b1/0x1e0 ? handle_bug+0x53/0xa0 ? exc_invalid_op+0x17/0x40 ? asm_exc_invalid_op+0x1a/0x20 ? tick_nohz_tick_stopped+0x1e/0x40 ? refcount_warn_saturate+0xb5/0x170 ? refcount_warn_saturate+0xb5/0x170 nfs3svc_release_getacl+0xc9/0xe0 svc_process_common+0x5db/0xb60 ? __pfx_svc_process_common+0x10/0x10 ? __rcu_read_unlock+0x69/0xa0 ? __pfx_nfsd_dispatch+0x10/0x10 ? svc_xprt_received+0xa1/0x120 ? xdr_init_decode+0x11d/0x190 svc_process+0x2a7/0x330 svc_handle_xprt+0x69d/0x940 svc_recv+0x180/0x2d0 nfsd+0x168/0x200 ? __pfx_nfsd+0x10/0x10 kthread+0x1a2/0x1e0 ? kthread+0xf4/0x1e0 ? __pfx_kthread+0x10/0x10 ret_from_fork+0x34/0x60 ? __pfx_kthread+0x10/0x10 ret_from_fork_asm+0x1a/0x30 Kernel panic - not syncing: kernel: panic_on_warn set ... Borre acl_access/acl_default después de llamar a posix_acl_release para evitar que se active UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: corsair-void: Agregar cancelación de trabajo retrasada faltante para el estado de los auriculares Se perdió la llamada cancel_delayed_work_sync(), lo que provocó un use after free en corsair_void_remove().

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: NFSD: se corrige el bloqueo en nfsd4_shutdown_callback Si nfs4_client está en estado de cortesía, no tiene sentido enviar la devolución de llamada. Esto hace que nfsd4_shutdown_callback se bloquee ya que cl_cb_inflight no es 0. Este bloqueo dura unos 15 minutos hasta que TCP notifica a NFSD que se interrumpió la conexión. Este parche modifica nfsd4_run_cb_work para omitir la llamada RPC si nfs4_client está en estado de cortesía.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ax25: Fix refcount leak caused by setting SO_BINDTODEVICE sockopt Si un dispositivo AX25 está enlazado a un socket configurando la opción de socket SO_BINDTODEVICE, se producirá una pérdida de refcount en ax25_release(). el commit 9fd75b66b8f6 ("ax25: Fix refcount leaks caused by ax25_cb_del()") añadió una disminución de los refcounts del dispositivo en ax25_release(). Para que funcione correctamente, los refcounts ya deben estar incrementados cuando el dispositivo está enlazado al socket. Un dispositivo AX25 puede estar enlazado a un socket llamando a ax25_bind() o configurando la opción de socket SO_BINDTODEVICE. En ambos casos, los refcounts deben incrementarse, pero de hecho solo se hace en ax25_bind(). Este error conduce al siguiente problema informado por Syzkaller: ================================================================= refcount_t: el decremento llegó a 0; pérdida de memoria. ADVERTENCIA: CPU: 1 PID: 5932 en lib/refcount.c:31 refcount_warn_saturate+0x1ed/0x210 lib/refcount.c:31 Módulos vinculados: CPU: 1 UID: 0 PID: 5932 Comm: syz-executor424 No contaminado 6.13.0-rc4-syzkaller-00110-g4099a71718b0 #0 Nombre del hardware: QEMU Standard PC (Q35 + ICH9, 2009), BIOS 1.16.3-debian-1.16.3-2~bpo12+1 04/01/2014 RIP: 0010:refcount_warn_saturate+0x1ed/0x210 lib/refcount.c:31 Seguimiento de llamadas: __refcount_dec include/linux/refcount.h:336 [en línea] refcount_dec include/linux/refcount.h:351 [en línea] ref_tracker_free+0x710/0x820 lib/ref_tracker.c:236 netdev_tracker_free include/linux/netdevice.h:4156 [en línea] netdev_put include/linux/netdevice.h:4173 [en línea] netdev_put include/linux/netdevice.h:4169 [en línea] ax25_release+0x33f/0xa10 net/ax25/af_ax25.c:1069 __sock_release+0xb0/0x270 net/socket.c:640 sock_close+0x1c/0x30 net/socket.c:1408 ... do_syscall_x64 arch/x86/entry/common.c:52 [en línea] do_syscall_64+0xcd/0x250 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f ... ================================================================== Corrija la implementación de ax25_setsockopt() agregando un incremento de recuentos de referencias para el nuevo dispositivo vinculado y una disminución de recuentos de referencias para el antiguo dispositivo no vinculado.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: spi: sn-f-ospi: Corrige la división por cero Cuando no hay un ciclo ficticio en los comandos spi-nor, tanto los bytes del ciclo de bus ficticio como el ancho son cero. Debido a la advertencia de la CPU cuando se divide por cero, se debe evitar la advertencia. Devuelve solo cero para evitar dichos cálculos.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: HID: hid-thrustmaster: corrección de lectura fuera de los límites de pila en usb_check_int_endpoints() Syzbot[1] ha detectado una lectura fuera de los límites de pila de la matriz ep_addr del controlador hid-thrustmaster. Esta matriz se pasa a la función usb_check_int_endpoints del controlador del núcleo usb.c, que ejecuta un bucle for que itera sobre los elementos de la matriz pasada. Al no encontrar un elemento nulo al final de la matriz, intenta leer el siguiente elemento inexistente, lo que hace que el kernel se bloquee. Para corregir esto, se agregó un elemento 0 al final de la matriz para romper el bucle for. [1] https://syzkaller.appspot.com/bug?extid=9c9179ac46169c56c1ad

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: workqueue: colocar el pwq después de separar el rescatador del grupo el commit 68f83057b913("workqueue: Reap workers via kthread_stop() and remove detach_completion") agrega código para recolectar los trabajadores normales, pero por error no gestiona el rescatador y también elimina el código que espera al rescatador en put_unbound_pool(), lo que causó un error de use after free informado por Cheung Wall. Para evitar el error de use after free, la referencia del grupo debe mantenerse hasta que se complete la separación. Por lo tanto, mueva el código que coloca el pwq después de separar el rescatador del grupo.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vrf: usar protección RCU en l3mdev_l3_out() l3mdev_l3_out() se puede llamar sin que se retenga RCU: raw_sendmsg() ip_push_pending_frames() ip_send_skb() ip_local_out() __ip_local_out() l3mdev_ip_out() Agregue el par rcu_read_lock() / rcu_read_unlock() para evitar un posible UAF.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: orangefs: corregir un oob en orangefs_debug_write Recibí un informe de syzbot: slab-out-of-bounds Lectura en orangefs_debug_write... varias personas sugirieron soluciones, probé la sugerencia de Al Viro e hice este parche.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: arm64: cacheinfo: evitar escritura fuera de los límites en la matriz cacheinfo El bucle que detecta/completa la información de caché ya tiene una comprobación de los límites en el tamaño de la matriz, pero no tiene en cuenta los niveles de caché con caché de datos/instrucciones independiente. Solucione esto incrementando el índice de cualquier hoja completada (en lugar de cualquier nivel completo).

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: equipo: mejor validación de TEAM_OPTION_TYPE_STRING syzbot informó lo siguiente: [1] Asegúrese de que los datos proporcionados por el usuario contengan un byte nulo. [1] ERROR: KMSAN: valor no inicializado en string_nocheck lib/vsprintf.c:633 [en línea] ERROR: KMSAN: valor no inicializado en string+0x3ec/0x5f0 lib/vsprintf.c:714 string_nocheck lib/vsprintf.c:633 [inline] string+0x3ec/0x5f0 lib/vsprintf.c:714 vsnprintf+0xa5d/0x1960 lib/vsprintf.c:2843 __request_module+0x252/0x9f0 kernel/module/kmod.c:149 team_mode_get drivers/net/team/team_core.c:480 [inline] team_change_mode drivers/net/team/team_core.c:607 [inline] team_mode_option_set+0x437/0x970 drivers/net/team/team_core.c:1401 team_option_set drivers/net/team/team_core.c:375 [inline] team_nl_options_set_doit+0x1339/0x1f90 drivers/net/team/team_core.c:2662 genl_family_rcv_msg_doit net/netlink/genetlink.c:1115 [inline] genl_family_rcv_msg net/netlink/genetlink.c:1195 [inline] genl_rcv_msg+0x1214/0x12c0 net/netlink/genetlink.c:1210 netlink_rcv_skb+0x375/0x650 net/netlink/af_netlink.c:2543 genl_rcv+0x40/0x60 net/netlink/genetlink.c:1219 netlink_unicast_kernel net/netlink/af_netlink.c:1322 [inline] netlink_unicast+0xf52/0x1260 net/netlink/af_netlink.c:1348 netlink_sendmsg+0x10da/0x11e0 net/netlink/af_netlink.c:1892 sock_sendmsg_nosec net/socket.c:718 [inline] __sock_sendmsg+0x30f/0x380 net/socket.c:733 ____sys_sendmsg+0x877/0xb60 net/socket.c:2573 ___sys_sendmsg+0x28d/0x3c0 net/socket.c:2627 __sys_sendmsg net/socket.c:2659 [inline] __do_sys_sendmsg net/socket.c:2664 [inline] __se_sys_sendmsg net/socket.c:2662 [inline] __x64_sys_sendmsg+0x212/0x3c0 net/socket.c:2662 x64_sys_call+0x2ed6/0x3c30 arch/x86/include/generated/asm/syscalls_64.h:47 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0xcd/0x1e0 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x77/0x7f

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: gpiolib: Se corrige el fallo en caso de error en gpiochip_get_ngpios(). Gpiochip_get_ngpios() utiliza macros chip_*() para imprimir mensajes. Sin embargo, estas macros dependen de que gpiodev se inicialice y configure, lo que no sucede cuando se llama a través de bgpio_init(). En tal caso, la impresión de mensajes se bloqueará en caso de desreferencia de puntero NULL. Reemplace las macros chip_*() por las respectivas dev_*() para evitar dicho bloqueo.