Eric Dumazet

**Name of the Vulnerable Software and Affected Versions** Linux kernel (affected versions not specified) **Description** A vulnerability in the Linux kernel has been resolved. The issue is related to the ndisc send skb() function, which can be called without RTNL or RCU held, potentially leading to a use-after-free (UAF) condition. To address this, RCU protection has been extended in ndisc send skb() by acquiring rcu read lock() earlier, allowing the use of dev net rcu(). **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no kernel do Linux foi resolvida. O problema está relacionado à função `l3mdev l3 out()`, que pode ser chamada sem proteção RCU. Isso pode levar a um potencial problema de use-after-free (UAF). A vulnerabilidade é explorada através de uma sequência de chamadas de função, incluindo `raw sendmsg()`, `ip push pending frames()`, `ip send skb()`, `ip local out()` e ` ip local out()`, culminando na chamada de `l3mdev ip out()`. Para corrigir isso, um par `rcu read lock()` / `rcu read unlock()` foi adicionado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Kernel Linux (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no kernel Linux foi resolvida. O problema diz respeito à função ` ip rt update pmtu()`, que deve utilizar proteção RCU para evitar que a estrutura net que ela lê desapareça. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Kernel Linux (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no kernel Linux foi corrigida. O problema está relacionado à função ndisc alloc skb(), que pode ser chamada sem que RTNL ou RCU estejam mantidos, potencialmente levando a uma condição de use-after-free (UAF). Para solucionar isso, a proteção RCU foi adicionada à ndisc alloc skb(). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Kernel Linux (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no kernel Linux foi corrigida. O problema está relacionado à função ` neigh notify()`, que pode ser chamada sem a proteção adequada, potencialmente levando a uma condição de use-after-free (UAF). Para solucionar isso, a proteção RCU é utilizada em ` neigh notify()`. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Kernel Linux (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no kernel Linux foi identificada, na qual a função arp xmit() pode ser chamada sem a proteção adequada, potencialmente resultando em um problema de use-after-free (UAF). Para solucionar isso, a proteção RCU é utilizada na função arp xmit() para prevenir tais problemas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Kernel Linux (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade no kernel Linux foi resolvida. O problema está relacionado ao openvswitch, especificamente à função `ovs vport cmd fill info()`, que pode ser chamada sem proteção RTNL ou RCU. Isso poderia levar a uma possível condição de use-after-free (UAF). Para corrigir isso, são utilizadas a proteção RCU e a função `dev net rcu()`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do kernel Linux anteriores à 6.6.74 **Descrição** O problema envolve o tratamento de pacotes IPv6 com cabeçalhos de extensão pelo kernel Linux. Especificamente, afeta dispositivos que anunciam NETIF F IPV6 CSUM, que é um recurso para cálculo de checksum de pacotes TCP ou UDP simples sobre IPv6. O problema surge quando pacotes BIG TCP são utilizados, introduzindo um cabeçalho de extensão IPv6 IPV6 TLV JUMBO para comunicar o comprimento do pacote. Este cabeçalho não é transmitido por dispositivos físicos, mas está presente em taps PF PACKET como o tcpdump. A alteração que causou o problema desabilitou o offload de hardware de pacotes IPv6 com cabeçalhos de extensão em dispositivos que suportam NETIF F IPV6 CSUM. A função `ipv6 has hopopt jumbo()` testa a presença deste cabeçalho e garante que ele seja o único cabeçalho de extensão antes de um cabeçalho terminal (L4). O problema foi resolvido reabilitando o offload NETIF F IPV6 CSUM para pacotes BIG TCP. **Recomendações** Para versões do kernel Linux anteriores à 6.6.74, atualize para a versão 6.6.74 ou posterior para resolver o problema. Como medida paliativa temporária, considere desabilitar a função `skb warn bad offload()` até que um patch esteja disponível. Restrinja o acesso ao recurso vulnerável `NETIF F IPV6 CSUM` para minimizar o risco de exploração. Evite usar o cabeçalho de extensão `IPV6 TLV JUMBO` em pacotes BIG TCP até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.65 **Descrição** Foi relatado um erro de divisão por zero no protocolo MPTCP do kernel Linux. A causa principal é o tratamento inadequado atual de desconexões simultâneas. Após um commit específico, `sk wait data()` pode retornar com um erro e o soquete subjacente desconectado, resultando em um `rcv mss` igual a zero. O erro ocorre quando ` tcp select window()` é chamado, levando a um erro de divisão. O problema é resolvido capturando o erro e retornando sem realizar nenhuma operação adicional no soquete atual. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.65 ou posterior. Como solução temporária, considere desativar a função `mptcp recvmsg()` até que um patch esteja disponível. Restrinja o acesso ao protocolo `mptcp` vulnerável para minimizar o risco de exploração. Evite usar a variável `rcv mss` no endpoint da API afetado até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: Versões do kernel Linux anteriores à 6.6.61 Descrição: Foi identificado um bug do tipo “slab-use-after-free” no kernel Linux, especificamente no componente netfilter: bpf. Esse problema ocorre quando a função ` nf unregister net hook()` é adiada após o momento de saída/fechamento, possivelmente devido a uma referência ausente no namespace de rede. O bug pode ser acionado por meio da função `bpf nf link release()`, levando a uma leitura de tamanho 8 em um endereço de memória específico. A análise de Eric sugere que a função `bpf nf link attach()` atribui `link->net = net` sem fazer uma referência ao namespace de rede, o que pode fazer com que o netns seja desmontado ou liberado prematuramente. Recomendações: Para resolver este problema, atualize o kernel do Linux para a versão 6.6.61 ou posterior. Como solução temporária, considere restringir o uso da função `bpf nf link attach()` até que um patch esteja disponível. Além disso, evite usar a variável `link->net` nos pontos de extremidade da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.74 **Descrição** Uma vulnerabilidade no kernel do Linux foi resolvida, especificamente no módulo af packet. O problema ocorre após a função sock init data() ser chamada em packet create(), onde o objeto sk alocado é anexado ao objeto sock fornecido. Se ocorrer um erro, packet create() libera o objeto sk, deixando um ponteiro pendente no objeto sock. Isso pode causar erros de uso após liberação (use-after-free) se outro código tentar usar o ponteiro. **Recomendações** Para versões do kernel do Linux anteriores à 6.6.74, atualize para a versão 6.6.74 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo af packet até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Versões do kernel Linux anteriores à 6.11.0-rc7-syzkaller-g5f5673607153 Descrição: O problema está relacionado a um panic no IPPROTO SMC no kernel do Linux. Quando INET PROTOSW ICSK está definido, icsk->icsk sync mss também deve ser definido. O problema ocorre devido à falta de sincronização do MSS dentro de sys connect file para AF SMC. Isso pode levar a uma desreferência de ponteiro NULL no kernel. Um patch foi adicionado para evitar tal panico, realizando um retorno simples, preparando o terreno para o suporte futuro a esse recurso para IPPROTO SMC. Recomendações: Para versões do kernel Linux anteriores à 6.11.0-rc7-syzkaller-g5f5673607153, considere aplicar o patch que adiciona uma implementação simplificada para evitar o panic. Esse patch realiza um retorno simples para evitar a desreferência do ponteiro NULL do kernel, fornecendo uma solução temporária até que o suporte completo para sincronização do MSS dentro de sys connect file para AF SMC seja implementado.

Nome do software vulnerável e versões afetadas: Versões do kernel Linux anteriores à 6.6.58 Descrição: O problema decorre de verificações de validade insuficientes na função `qdisc pkt len init()`, especificamente ao processar pacotes `SKB GSO DODGY`. A função `virtio net hdr to skb()` não analisa completamente os cabeçalhos TCP, garantindo apenas que tenham pelo menos 20 bytes de comprimento. Isso permite que um usuário crie um pacote ‘GSO’ malicioso com comprimento total de 80 bytes, composto por um cabeçalho IPv4 de 20 bytes, um cabeçalho TCP de 60 bytes e um `gso size` pequeno, como 8. Como resultado, `virtio net hdr to skb()` identificaria incorretamente esse pacote como um pacote GSO normal, pois o tamanho da carga útil percebido seria maior que `gso size`. Isso pode levar a um underflow em `qdisc skb cb(skb)->pkt len`. Recomendações: Para versões do kernel Linux anteriores à 6.6.58, atualize para a versão 6.6.58 ou posterior para resolver o problema. Como solução temporária, considere implementar verificações adicionais de validade para pacotes `SKB GSO DODGY` a fim de evitar subfluxo em `qdisc skb cb(skb)->pkt len`. Restrinja o uso da função `virtio net hdr to skb()` até que a atualização seja aplicada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de vazamento de dados no componente net: dpaa do kernel do Linux. Ao enviar pacotes com menos de 60 bytes, até três bytes do buffer após os dados podem vazar. Isso pode ser evitado estendendo todos os pacotes para ETH ZLEN, garantindo que nada vaze no preenchimento. O bug pode ser reproduzido executando $ ping -s 11 destino. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.50 **Descrição** O problema está relacionado ao uso de memória após ela ter sido liberada na função `ip6 finish output2` do kernel Linux. Isso pode levar a uma negação de serviço. O problema ocorre quando skb expand head() retorna NULL, indicando que o skb foi liberado e que o dst/idev associado também pode ter sido liberado. Para evitar isso, é necessário manter rcu read lock() para garantir que o dst e o idev associado estejam ativos. **Recomendações** Para resolver o problema, atualize para a versão 6.6.50 ou posterior do kernel do Linux. Como solução alternativa temporária, considere restringir o acesso à função ip6 finish output2 até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.50 **Descrição** O problema está relacionado a uma possível vulnerabilidade do tipo “use-after-free” (UAF) na função `ip6 xmit()` do kernel Linux. Se `skb expand head()` retornar NULL, isso indica que o `skb` foi liberado, e o `dst/idev` associado também pode ter sido liberado. Para evitar um possível UAF, é necessário usar `rcu read lock()`. A exploração dessa vulnerabilidade pode permitir que um invasor cause uma negação de serviço. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.50 ou posterior. Como solução temporária, considere usar `rcu read lock()` para evitar uma possível UAF na função `ip6 xmit()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao componente TCP do kernel Linux, onde um soquete TCP que utiliza TCP USER TIMEOUT pode retransmitir pacotes a cada dois jiffies (2 ms para HZ=1000) por cerca de 4 minutos após o término do TCP USER TIMEOUT, caso o outro par reduza sua janela a zero. A correção envolve garantir que tcp rtx probe0 timed out() leve em consideração icsk->icsk user timeout. Antes de um commit específico, o soquete não expirava após icsk->icsk user timeout, mas usava o backoff exponencial padrão para as retransmissões. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Kernel do Linux (versões afetadas não especificadas) Descrição: O problema está relacionado ao componente tipc do kernel do Linux, que apresenta uma falha na validação incorreta de entradas. Isso pode levar a um estouro de pilha quando um nó recebe e processa estruturas `domain record` de nós pares. A função `tipc mon rcv()` é usada para receber e processar essas estruturas e é chamada a partir da função `tipc link proto rcv()`, onde um campo de comprimento de dados de mensagem de 32 bits é lido em um uint16. Para evitar estouro de bits, uma verificação de integridade adicional foi adicionada a essa função. O problema foi identificado por Eric Dumazet. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado à função `gue gro receive()` no kernel do Linux, que apresenta uma falha na validação incorreta de entradas. Isso pode afetar potencialmente a confidencialidade, a integridade e a disponibilidade das informações protegidas. A vulnerabilidade está relacionada ao tratamento de protocolos não suportados na função `gue gro receive()`. É possível construir facilmente um pacote para acionar um aviso, que anteriormente foi reduzido de `WARN ON` para `WARN ON ONCE`. O aviso foi removido, pois é esperado e não requer ação. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado à função `ila output()` no kernel do Linux, que pode ser chamada a partir de `lwtunnel output()`, possivelmente a partir do contexto do processo, e sob `rcu read lock()`. Isso pode levar a uma condição de corrida em que a função é interrompida por um softirq, causando corrupção das estruturas de dados `dst cache`. O problema surge porque os auxiliares `net/core/dst cache.c` precisam ser chamados com o BH desativado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.