Dragos Tatulea

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.65 **Descrição** O problema está relacionado à contagem incorreta de referências de página no código de tratamento do kTLS do módulo net/mlx5e. O código utiliza uma combinação das APIs `get page()` e `page ref inc()` para incrementar a referência da página, mas no caminho de liberação, apenas `put page()` é utilizada. Isso causa um problema ao utilizar páginas de folios grandes, pois as referências de `get page()` são armazenadas na página do folio, enquanto as referências de `page ref inc()` são armazenadas diretamente na página em questão. Como resultado, a página do fólio será desreferenciada demasiadas vezes na versão final. Este problema foi encontrado durante testes kTLS com `sendfile()` + ZC quando o arquivo servido foi lido do NFS em um kernel com suporte a grandes fólios NFS. **Recomendações** Para resolver o problema, atualize para a versão 6.6.65 ou posterior do kernel Linux. Como solução alternativa temporária, considere desativar a função `mlx5e ktls tx handle resync dump comp()` até que um patch esteja disponível. Restrinja o acesso ao módulo `net/mlx5e` para minimizar o risco de exploração. Evite usar as APIs `get page()` e `page ref inc()` em combinação até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.58 **Descrição** O problema diz respeito ao kernel Linux, especificamente ao componente vhost vdpa. Trata-se de uma atribuição incorreta do token do produtor de bypass de IRQ. O problema surge porque a função `irq bypass unregister producer()` é chamada em `vhost vdpa setup vq irq()`, o que pode levar a problemas com a validade do ponteiro do token. O ciclo de vida do token deve estar vinculado a `VHOST SET VRING CALL` em vez de `vhost vdpa setup vq irq()`. Para corrigir isso, o token do produtor de bypass de IRQ é configurado ao lidar com `VHOST SET VRING CALL`, e o produtor é desregistrado antes de chamar `vhost vring ioctl()` para evitar um possível uso após liberação, já que `eventfd` poderia ter sido liberado em `vhost vring ioctl()`. Esse registro e cancelamento de registro ocorrem apenas se `DRIVER OK` estiver definido. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.58 ou posterior. Como solução alternativa temporária, considere desativar a função `vhost vdpa setup vq irq()` até que um patch esteja disponível. Restrinja o acesso ao componente `vhost vdpa` para minimizar o risco de exploração. Evite usar o `eventfd ctx` como token no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 5.14.0-496.el9.x86 64 **Descrição** O kernel do Linux apresenta uma vulnerabilidade no módulo vdpa/mlx5, na qual certos caminhos de erro de `mlx5 vdpa dev add()` podem liberar recursos mr que nunca foram inicializados. Este problema é resolvido adicionando-se uma verificação que faltava em `mlx5 vdpa destroy mr resources()` para bloquear a liberação de recursos mr não inicializados. A vulnerabilidade pode causar uma desreferência de ponteiro NULL no kernel. **Recomendações** Para resolver este problema, atualize o kernel do Linux para uma versão que inclua a correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao componente net/mlx5e no kernel do Linux, onde a função `mlx5e safe reopen channels()` requer que seja adquirido um bloqueio de estado. Uma alteração anterior removeu o bloqueio para corrigir outro problema, mas este patch o adiciona de volta posteriormente para evitar um impasse. A função `mlx5e safe reopen channels()` é chamada durante o relator de tempo limite de transmissão (tx timeout reporter). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema ocorre no módulo net/mlx5e do kernel do Linux, especificamente com o recurso SHAMPO (Shared Header And Memory Pool Optimization). Sob certas condições, um novo skb (buffer de soquete) é formado com uma página de dados regular em vez de uma página de cabeçalho SHAMPO. Posteriormente, na função `mlx5e handle rx cqe mpwrq shampo()`, uma página de cabeçalho SHAMPO é liberada do `header index`. Isso leva à liberação de páginas de cabeçalho SHAMPO mais de uma vez, o que é incorreto. As condições para que isso ocorra são: 1) nenhum skb foi criado ainda, 2) `header size` é igual a 0 (indicando ausência de cabeçalho SHAMPO) e 3) `header index + 1 % MLX5E SHAMPO WQ HEADER PER PAGE` é igual a 0, marcando o último fragmento de página de uma página de cabeçalho SHAMPO. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.50 **Descrição** O problema ocorre no componente net/mlx5e do kernel Linux, especificamente com o recurso SHAMPO. Quando todos os strides em um Elemento da Fila de Trabalho (WQE) são consumidos, o WQE é desvinculado da lista encadeada da Fila de Trabalho (WQ) usando a função `mlx5 wq ll pop()`. No entanto, para o SHAMPO, é possível receber Entradas da Fila de Conclusão (CQEs) com 0 strides consumidos para o mesmo WQE, mesmo após ele ter sido totalmente consumido e desvinculado. Isso aciona uma desvinculação adicional para o mesmo WQE, corrompendo a lista vinculada. A correção envolve aceitar strides consumidos de tamanho 0 sem desvincular o WQE novamente. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.50 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao componente vulnerável `net/mlx5e` até que um patch esteja disponível.

**Name of the Vulnerable Software and Affected Versions** Linux kernel versions prior to 6.1.0 **Description** The vulnerability is related to the IB/IPoIB component of the Linux kernel, which can cause a crash when traffic is sent over the PKEY interface due to a mismatch in the number of queues between the parent and child interfaces. This issue is caused by the creation of child PKEY interfaces over netlink with multiple tx and rx queues, while some devices only support one tx and one rx queue. The patch fixes the number of queues to 1 for legacy IPoIB at the earliest possible point in time. **Recommendations** To resolve the issue, update the Linux kernel to a version that includes the fix for the IB/IPoIB vulnerability. Specifically, for Linux kernel versions prior to 6.1.0, update to version 6.1.0 or later.

**Name of the Vulnerable Software and Affected Versions** Linux kernel versions prior to 4.3.3 **Description** The issue allows local users to gain privileges or cause a denial of service (use-after-free) by leveraging improper access to a certain error field in the ext4 journal stop function. **Recommendations** For versions prior to 4.3.3, update to version 4.3.3 or later to resolve the issue.