Vulnerabilidades

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: usb: atm: cxacru: corrige la comprobación de endpoints en cxacru_bind() Syzbot todavía informa de un problema bastante antiguo [1] que se produce debido a una comprobación incompleta de los endpoints USB actuales. Como tal, se pueden usar tipos de endpoints incorrectos en la etapa de envío de urb, lo que a su vez activa una advertencia en usb_submit_urb(). Solucione el problema verificando que los tipos de endpoints requeridos estén presentes tanto para los endpoints de entrada como para los de salida, teniendo en cuenta el tipo de endpoint cmd. Desafortunadamente, este parche no ha sido probado en hardware real. [1] Informe Syzbot: usb 1-1: BOGUS urb xfer, tubería 1! = tipo 3 ADVERTENCIA: CPU: 0 PID: 8667 en drivers/usb/core/urb.c:502 usb_submit_urb+0xed2/0x18a0 drivers/usb/ core/urb.c:502 Módulos vinculados en: CPU: 0 PID: 8667 Comm: kworker/0:4 Not tainted 5.14.0-rc4-syzkaller #0 Nombre del hardware: Google Google Compute Engine/Google Compute Engine, BIOS Google 01 /01/2011 Cola de trabajo: usb_hub_wq hub_event RIP: 0010:usb_submit_urb+0xed2/0x18a0 drivers/usb/core/urb.c:502 ... Seguimiento de llamadas: cxacru_cm+0x3c0/0x8e0 drivers/usb/atm/cxacru.c:649 cxacru_card_status+0x22/0xd0 drivers/usb/atm/cxacru.c:760 cxacru_bind+0x7ac/0x11a0 drivers/usb/atm/cxacru.c:1209 usbatm_usb_probe+0x321/0x1ae0 drivers/usb/atm/usbatm.c:1055 cxacru_usb_probe+ 0xdf/0x1e0 drivers/usb/atm/cxacru.c:1363 usb_probe_interface+0x315/0x7f0 drivers/usb/core/driver.c:396 call_driver_probe drivers/base/dd.c:517 [en línea] Actually_probe+0x23c/0xcd0 drivers/ base/dd.c:595 __driver_probe_device+0x338/0x4d0 drivers/base/dd.c:747 driver_probe_device+0x4c/0x1a0 drivers/base/dd.c:777 __device_attach_driver+0x20b/0x2f0 drivers/base/dd.c:894 bus_for_each_drv +0x15f/0x1e0 drivers/base/bus.c:427 __device_attach+0x228/0x4a0 drivers/base/dd.c:965 bus_probe_device+0x1e4/0x290 drivers/base/bus.c:487 device_add+0xc2f/0x2180 drivers/base/ core.c:3354 usb_set_configuration+0x113a/0x1910 drivers/usb/core/message.c:2170 usb_generic_driver_probe+0xba/0x100 drivers/usb/core/generic.c:238 usb_probe_device+0xd9/0x2c0 drivers/usb/core/driver. c:293

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ata: libata-core: corrige la desreferencia del puntero nulo en caso de error Si la llamada ata_port_alloc() en ata_host_alloc() falla, se llamará ata_host_release(). Sin embargo, el código en ata_host_release() intenta liberar incondicionalmente a los miembros de la estructura ata_port, lo que puede provocar lo siguiente: ERROR: no se puede manejar el error de página para la dirección: 0000000000003990 PGD 0 P4D 0 Ups: Ups: 0000 [#1] PREEMPT SMP NOPTI CPU: 10 PID: 594 Comunicaciones: (udev-worker) No contaminado 6.10.0-rc5 #44 Nombre del hardware: PC estándar QEMU (i440FX + PIIX, 1996), BIOS 1.16.3-2.fc40 01/04/2014 RIP : 0010:ata_host_release.cold+0x2f/0x6e [libata] Código: e4 4d 63 f4 44 89 e2 48 c7 c6 90 ad 32 c0 48 c7 c7 d0 70 33 c0 49 83 c6 0e 41 RSP: 0018:ffffc90000ebb968 00010246 RAX : 0000000000000041 RBX: ffff88810fb52e78 RCX: 0000000000000000 RDX: 0000000000000000 RSI: ffff88813b3218c0 RDI: ffff88813b3218c0 RBP: ffff888 10fb52e40 R08: 0000000000000000 R09: 6c65725f74736f68 R10: ffffc90000ebb738 R11: 73692033203a746e R12: 000000000000004 R13: 00000000 R14: 0000000000000011 R15: 0000000000000006 FS: 00007f6cc55b9980(0000) GS:ffff88813b300000(0000) knlGS:0000000000000000 CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033 CR2: 0000000000003990 CR3: 00000001122a200 0 CR4: 0000000000750ef0 PKRU: 55555554 Seguimiento de llamadas: ? __die_body.cold+0x19/0x27 ? page_fault_oops+0x15a/0x2f0? exc_page_fault+0x7e/0x180? asm_exc_page_fault+0x26/0x30? ata_host_release.cold+0x2f/0x6e [libata]? ata_host_release.cold+0x2f/0x6e [libata] release_nodes+0x35/0xb0 devres_release_group+0x113/0x140 ata_host_alloc+0xed/0x120 [libata] ata_host_alloc_pinfo+0x14/0xa0 [libata] ahci_init_one+0x6c9/0xd20 ] No acceder a los miembros de la estructura ata_port incondicionalmente.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI/MSI: corrige UAF en msi_capability_init KFENCE informa el siguiente UAF: ERROR: KFENCE: lectura de uso después de liberación en __pci_enable_msi_range+0x2c0/0x488 Lectura de uso después de liberación en 0x0000000024629571 (en kfence-#12): __pci_enable_msi_range+0x2c0/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 kfence-#12: 0x0000000008614900-0x00000000e06c22 8d, tamaño=104, caché=kmalloc-128 asignado por la tarea 81 en la CPU 7 en 10.808142 s: __kmem_cache_alloc_node+0x1f0/0x2bc kmalloc_trace+0x44/0x138 msi_alloc_desc+0x3c/0x9c msi_domain_insert_msi_desc+0x30/0x78 msi_setup_msi_desc+0x13c/0x184 __pci_enable_msi_range+0 x258/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 liberado por la tarea 81 en la CPU 7 en 10.811436s: msi_domain_free_descs+0xd4/0x10c msi_domain_free_locked.part.0+0xc0/0x1d8 msi_domain_alloc_irqs_all_locked+0xb4/0xbc pci_msi_setup_msi_irqs+0x30/0x4c __pci_enable_msi_range+ 0x2a8/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 Asignación de descriptores realizada en: __pci_enable_msi_range msi_capability_init msi_setup_msi_desc msi_insert_msi_desc msi_domain_insert_msi_desc msi_alloc_desc ... Liberado en caso de fallo en __msi_domain_alloc_locked() __pci_enable_msi_range msi_capability_init pci_msi_setup_msi_irqs msi_domain_alloc_irqs_all_locked msi_domain_alloc_locked __msi_ domain_alloc_locked => falla msi_domain_free_locked... Ese error se propaga nuevamente a pci_msi_setup_msi_irqs() en msi_capability_init() que accede al descriptor para desenmascarar en la salida de error camino. Soréguelo copiando el descriptor y usando la copia para la operación de desenmascarar la ruta de salida del error. [tglx: registro de cambios masajeado]

El control de acceso incorrecto en el altavoz inteligente nano Himalaya Xiaoya rom_version 1.6.96 permite que un atacante remoto tenga un impacto no especificado.

Vulnerabilidad de desbordamiento de búfer en host-host NEUQ_board v.1.0 permite que un atacante remoto provoque una denegación de servicio a través del componente password.h.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfs: corrija netfs_page_mkwrite() para verificar que folio->mapping sea válido. Corrija netfs_page_mkwrite() para verificar que folio->mapping sea válido una vez que haya tomado el bloqueo de folio (como filemap_page_mkwrite( ) hace). Sin esto, generic/247 ocasionalmente falla con algo como lo siguiente: ERROR: desreferencia del puntero NULL del kernel, dirección: 0000000000000000 #PF: acceso de lectura del supervisor en modo kernel #PF: error_code(0x0000) - página no presente RIP: 0010:trace_event_raw_event_netfs_folio +0x61/0xc0... Seguimiento de llamadas: ? __die_body+0x1a/0x60 ? page_fault_oops+0x6e/0xa0? exc_page_fault+0xc2/0xe0? asm_exc_page_fault+0x22/0x30? trace_event_raw_event_netfs_folio+0x61/0xc0 trace_netfs_folio+0x39/0x40 netfs_page_mkwrite+0x14c/0x1d0 do_page_mkwrite+0x50/0x90 do_pte_missing+0x184/0x200 __handle_mm_fault+0x42d/0x500 _fault+0x121/0x1f0 do_user_addr_fault+0x23e/0x3c0 exc_page_fault+0xc2/0xe0 asm_exc_page_fault+0x22/0x30 Esto se debe a que invalidate_inode_pages2_range() emitido al final de la escritura DIO interfiere con las escrituras mmap.

En el kernel de Linux, se resolvió la siguiente vulnerabilidad: cxl/region: evitar la desreferencia del puntero nulo en la búsqueda de regiones cxl_dpa_to_region() busca una región basada en memdev y DPA. Se supone erróneamente que un endpoint encontrado mapeando el DPA también pertenece a una región completamente ensamblada. Cuando no es cierto, se produce una desreferencia del puntero nulo al buscar el nombre de la región. Esto aparece durante la prueba de la búsqueda de regiones después de un error al ensamblar una región definida por el BIOS o si la búsqueda coincidió con el ensamblaje de la región definida por el BIOS. No limpiar las regiones definidas por el BIOS que fallan en el ensamblaje es un problema en sí mismo y una solución a ese problema aliviará parte del impacto. Esto no aliviará las condiciones de carrera, así que endurezcamos este camino. El cambio de comportamiento es que el kernel oops debido a una desreferencia de puntero nulo se reemplaza con un mensaje dev_dbg() que indica que se asignó un endpoint. Se agregan comentarios adicionales para que los futuros usuarios de esta función puedan comprender más claramente lo que proporciona.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cxl/mem: no se corrige cxl_nvd durante el autoensamblaje de la región pmem. Cuando el subsistema CXL ensambla automáticamente una región pmem durante el sondeo del puerto del endpoint cxl, presione siempre debajo de calltrace. ERROR: desreferencia del puntero NULL del kernel, dirección: 0000000000000078 #PF: acceso de lectura del supervisor en modo kernel #PF: código_error(0x0000) - página no presente RIP: 0010:cxl_pmem_region_probe+0x22e/0x360 [cxl_pmem] Seguimiento de llamadas: ? __morir+0x24/0x70 ? page_fault_oops+0x82/0x160? do_user_addr_fault+0x65/0x6b0? exc_page_fault+0x7d/0x170? asm_exc_page_fault+0x26/0x30? cxl_pmem_region_probe+0x22e/0x360 [cxl_pmem] ? cxl_pmem_region_probe+0x1ac/0x360 [cxl_pmem] cxl_bus_probe+0x1b/0x60 [cxl_core] really_probe+0x173/0x410? __pfx___device_attach_driver+0x10/0x10 __driver_probe_device+0x80/0x170 driver_probe_device+0x1e/0x90 __device_attach_driver+0x90/0x120 bus_for_each_drv+0x84/0xe0 __device_attach+0xbc/0x1f0 be_device+0x90/0xa0 device_add+0x51c/0x710 devm_cxl_add_pmem_region+0x1b5/0x380 [cxl_core] cxl_bus_probe+ 0x1b/0x60 [cxl_core] El cxl_nvd de memdev debe estar disponible durante el sondeo de la región pmem. Actualmente, cxl_nvd está registrado después de la sonda del puerto del endpoint. La sonda de endpoint, en el caso de autoensamblaje de regiones, puede provocar una sonda de región pmem que requiera el cxl_nvd aún no disponible. Ajuste la secuencia para que se cumpla esta dependencia. Esto requiere agregar un parámetro de puerto a cxl_find_nvdimm_bridge() que se puede usar para consultar el puerto raíz ancestro. El puerto del endpoint aún no está disponible, pero compartirá un ancestro común con su padre, así que inicie la consulta desde allí.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: net: can: j1939: manejo de errores mejorado para mensajes RTS recibidos estrechamente en xtp_rx_rts_session_new Este parche mejora el manejo de errores en escenarios con mensajes RTS (Solicitud de envío) que llegan cerca. Reemplaza los rastreos WARN_ON_ONCE menos informativos con un nuevo método de manejo de errores. Esto proporciona mensajes de error más claros y permite la finalización anticipada de sesiones problemáticas. Anteriormente, las sesiones sólo se publicaban al final de j1939_xtp_rx_rts(). Potencialmente, esto podría reproducirse con algo como: testj1939 -r vcan0:0x80 & while true; hacer # enviar primero RTS cansend vcan0 18EC8090#1014000303002301; # enviar segundo RTS cansend vcan0 18EC8090#1014000303002301; # enviar cancelar cansend vcan0 18EC8090#ff00000000002301; hecho

Magento-lts es una alternativa de soporte a largo plazo a Magento Community Edition (CE). Esta vulnerabilidad de XSS afecta las configuraciones del sistema design/header/welcome, design/header/logo_src, design/header/logo_src_small y design/header/logo_alt. Su objetivo es permitir a los administradores establecer un texto en los dos casos y definir una URL de imagen para los otros dos casos. Pero debido a que anteriormente faltaba el escape, se permitía ingresar HTML arbitrario y, como consecuencia, también JavaScript arbitrario. El problema se solucionó con la versión 20.10.1 o superior.

tgstation-server es una herramienta a escala de producción para la gestión de servidores BYOND. Antes de 6.8.0, los usuarios con permisos bajos que usaban el privilegio "Set .dme Path" podían configurar archivos .dme maliciosos existentes en la máquina host para compilarlos y ejecutarlos. Estos archivos .dme se pueden cargar a través del servidor tgstation (que requiere un privilegio aislado e independiente) o por algún otro medio. Un servidor configurado para ejecutarse en el nivel de seguridad confiable de BYOND (que requiere un tercer privilegio separado y aislado O que lo establezca otro usuario) podría llevar a que esto se convierta en una ejecución remota de código a través del proceso shell() de BYOND. La capacidad de ejecutar este tipo de ataque es un efecto secundario conocido de tener usuarios privilegiados de TGS, pero normalmente requiere múltiples privilegios con debilidades conocidas. Este vector no es intencional ya que no requiere control sobre el origen del código de implementación y _puede_ no requerir acceso de escritura remota al directorio "Configuration" de una instancia. Este problema se solucionó en las versiones 6.8.0 y superiores.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nvme-fabrics: use etiqueta reservada para el comando de lectura/escritura de registro. En algunos escenarios, si el comando nvme emite demasiados comandos al mismo tiempo por las tareas del usuario, esto puede agotar todos etiquetas de admin_q. Si se produce un reinicio (reinicio de nvme o tiempo de espera de IO) antes de que finalicen estos comandos, es posible que la rutina de reconexión no actualice los registros de nvme debido a etiquetas insuficientes, lo que provocará que el kernel se cuelgue para siempre. Para solucionar este problema, tal vez podamos permitir que reg_read32()/reg_read64()/reg_write32() use etiquetas reservadas. Esto puede ser seguro para nvmf: 1. Para la ruta de activación ctrl/deshabilitar, no emitiremos el comando connect. 2. Para la ruta de activación ctrl/fw enable, ya que connect y reg_xx() se llaman en serie. Por lo tanto, las etiquetas reservadas pueden ser suficientes mientras reg_xx() usa etiquetas reservadas.