Hou Tao

Nome do software vulnerável e versões afetadas: Kernel do Linux (versões afetadas não especificadas) Descrição: O problema diz respeito a uma vulnerabilidade no kernel do Linux, na qual a função `bpf iter bits new()` não verifica adequadamente a validade de `nr words`. Isso pode levar à corrupção da pilha devido à função `bpf probe read kernel common()` quando `nr words` causa um estouro de multiplicação, resultando em um valor incorreto de `nr bits`. Por exemplo, quando `nr words` é igual a 0x0400-0001, `nr bits` torna-se 64, o que pode causar problemas. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi fornecido. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. Recomendações: Para resolver o problema, limite o valor máximo de `nr words` a 511, conforme derivado da implementação atual do alocador de memória BPF. Use a função auxiliar `bpf mem alloc check size()` para verificar se `nr bytes` é muito grande e retorne -E2BIG em vez de -ENOMEM para `nr bytes` com tamanho excessivo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.65 **Descrição** O problema está relacionado ao kernel do Linux, onde um tipo de link recém-adicionado que não invoca BPF LINK TYPE() pode causar um acesso fora dos limites ao acessar bpf link type strs[link->type]. Para resolver isso, a validade de link->type em bpf link show fdinfo() é verificada, e um aviso é emitido quando tais invocações são omitidas. **Recomendações** Para versões do kernel Linux anteriores à 6.6.65, atualize para a versão 6.6.65 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função bpf link show fdinfo() até que um patch esteja disponível.

Nome do software vulnerável e versões afetadas: Kernel do Linux (versões afetadas não especificadas) Descrição: Há uma leitura fora dos limites na função `bpf link show fdinfo()` para o fd do link sockmap. O problema foi resolvido com a adição da invocação `BPF LINK TYPE`, que estava faltando, para o link sockmap. Além disso, foram adicionados comentários para `bpf link type` a fim de evitar que atualizações sejam esquecidas no futuro. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.43 **Descrição** A vulnerabilidade está relacionada a um problema de uso após liberação (use-after-free) na função `cachefiles withdraw cookie()`. Esse problema pode ser desencadeado por uma condição de corrida entre as funções `cachefiles daemon release()` e `cachefiles withdraw cache()`, levando a um erro de uso após liberação. A vulnerabilidade pode ser explorada para comprometer a confidencialidade, integridade e disponibilidade de informações protegidas. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.43 ou posterior. Como solução temporária, considere desativar a função `cachefiles withdraw cookie()` até que um patch esteja disponível. No entanto, isso pode ter consequências indesejadas e deve ser cuidadosamente avaliado antes da implementação. Observação: No momento, não há informações sobre outras versões que contenham uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao uso de memória após ela ter sido liberada na função `cachefiles` do kernel do Linux. Isso pode levar a um problema de uso após liberação (use-after-free) quando a função `ondemand object worker` é executada após o objeto ter sido liberado. O problema ocorre quando o cachefiles object não está fixado e pode ser liberado quando uma solicitação de leitura pendente é concluída e o erofs relacionado é desmontado. Os detalhes técnicos sobre a exploração incluem: - A função `cachefiles ondemand send req()` envia uma solicitação de leitura. - A função `cachefiles ondemand fd release()` fecha o fd ondemand e define o objeto como CLOSE. - A função `cachefiles ondemand daemon read()` define o objeto como REOPENING e enfileira a função `ondemand object worker()`. - A função `queue work(fscache wq, &info->ondemand work)` enfileira o trabalho para o ondemand object worker. - A função `cachefiles put object()` libera o objeto. - A função `kmem cache free(object)` libera a memória do objeto. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.8.0-rc7-dirty #542 **Descrição** O problema é causado por uma vulnerabilidade do tipo “slab-use-after-free” na função `cachefiles ondemand daemon read`. Isso ocorre quando um comando de restauração é emitido enquanto o daemon ainda está ativo, resultando no processamento de uma solicitação várias vezes e acionando um erro de uso após liberação (UAF). A vulnerabilidade pode ser explorada emitindo-se um comando de restauração enquanto o daemon ainda está ativo. Os detalhes técnicos sobre a exploração incluem: - A função `cachefiles ondemand get fd` é vulnerável a um erro UAF. - A variável `REQ A` é usada para armazenar uma solicitação, e seu campo `done` é aguardado usando `wait for completion`. - A função `cachefiles ondemand daemon read` lê dados de um descritor de arquivo, e a função `copy to user` é usada para copiar dados para um buffer do espaço do usuário. - A função `xas for each` é usada para iterar sobre um conjunto de solicitações, e a função `xas set mark` é usada para definir uma marca em uma solicitação. - A função `cachefiles ondemand restore` é usada para restaurar uma solicitação, e a função `xa erase` é usada para apagar uma solicitação do cache. **Recomendações** Para resolver o problema, adicione uma contagem de referência adicional a `cachefiles req`, que é mantida durante a espera e a leitura e, em seguida, liberada quando a espera e a leitura terminam. Como solução alternativa temporária, considere desativar a função `cachefiles ondemand daemon read` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao uso de memória após ela ter sido liberada no módulo cachefiles do kernel do Linux. Isso pode causar uma condição de uso após liberação (UAF) na cache. O problema surge quando um descritor de arquivo anônimo é instalado e, em seguida, fechado, potencialmente antes que a contagem de referências do cache seja obtida. Para resolver isso, a contagem de referências do cache deve ser obtida antes da instalação do descritor de arquivo. Por convenção do kernel, o descritor de arquivo é assumido pelo espaço do usuário após a instalação, e o kernel não deve chamar o comando close sobre ele depois disso. A correção envolve chamar fd install depois que tudo estiver pronto, especificamente após o sucesso de copy to user. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Linux kernel versions from v5.8 to v6.6 **Description** The issue is related to a use-after-free problem in the Linux kernel, specifically in the bpf (Berkeley Packet Filter) subsystem. When updating or deleting an inner map in a map array or map htab, the map may still be accessed by non-sleepable or sleepable programs. The `bpf map fd put ptr()` function decreases the ref-counter of the inner map directly through `bpf map put()`, which can lead to the inner map being freed by `ops->map free()` in a kworker. However, most `.map free()` callbacks do not use `synchronize rcu()` or its variants to wait for the elapse of a RCU (Read-Copy Update) grace period, resulting in a potential use-after-free problem. The estimated number of potentially affected devices worldwide is not specified. There are reports of proof-of-concept (PoC) exploits being released, demonstrating the vulnerability's potential for container escape. **Recommendations** To resolve the issue, update the Linux kernel to a version that includes the fix for the vulnerability. Specifically, versions prior to v5.8 and after v6.6 are not affected. For versions between v5.8 and v6.6, apply the patch that fixes the use-after-free problem in the bpf subsystem. As a temporary workaround, consider disabling the `bpf map put()` function or restricting access to the vulnerable bpf subsystem until a patch is available.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** Foi identificado um problema de estouro de tamanho no kernel do Linux, especificamente no componente libbpf ao lidar com ringbuf mmap. O tamanho máximo do ringbuf é de 2 GB em hosts x86-64, o que pode causar um estouro de u32 ao mapear páginas de produtor e páginas de dados. Este problema afeta aplicativos de 32 bits em execução em kernels de 64 bits, onde o tamanho da região mmap somente leitura também pode causar estouro de size t. A correção envolve converter o tamanho da região mmap somente leitura para u64 e verificar possíveis estouros durante o mmap. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do kernel Linux anteriores a 5.14.0+ **Descrição** Existe uma condição de corrida entre a função `nbd alloc config()` e a remoção do módulo nbd. Quando o módulo nbd está sendo removido, `nbd alloc config()` pode ser chamada concorrentemente por `nbd genl connect()`, levando a um potencial vazamento de `nbd config` e seus recursos relacionados, como `recv workq`. Isso pode causar uma dereferência de ponteiro NULL no kernel e um erro 'oops' em `nbd read stat()` devido ao descarregamento do módulo nbd. **Recomendações** Para versões do kernel Linux anteriores a 5.14.0+, atualize para uma versão mais recente que inclua a correção para a condição de corrida entre `nbd alloc config()` e a remoção do módulo. Como solução temporária, considere desabilitar o módulo `nbd` até que um patch esteja disponível. Restrinja o acesso ao módulo `nbd` para minimizar o risco de exploração. Evite usar a função `nbd genl connect()` em conjunto com a função `nbd alloc config()` até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Kernel Linux anteriores a 5.14.0-rc4 **Descrição** Existe uma condição de corrida entre a remoção de módulos e a manipulação de comandos netlink no Kernel Linux, o que pode levar a uma desreferência de ponteiro NULL no kernel. Este problema está relacionado ao módulo `nbd` e pode causar um erro "oops", conforme mostrado no stack trace fornecido. O erro ocorre quando `genl unregister family()` não é chamado antes de `nbd cleanup()`, permitindo uma potencial condição de corrida. **Recomendações** Para versões do Kernel Linux anteriores a 5.14.0-rc4, considere atualizar para uma versão mais recente que inclua a correção para este problema. Como solução alternativa temporária, garanta que `genl unregister family()` seja chamado antes de `nbd cleanup()` para prevenir a condição de corrida.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** Foi corrigida uma vulnerabilidade no kernel do Linux relacionada à função de remoção dm btree. O problema ocorre quando a função `remove raw()` em `dm btree remove()` falha devido a um erro de leitura de E/S, fazendo com que o valor `shadow spine::root` fique não inicializado. Esse valor não inicializado é então atribuído a `new root`, levando a um possível acesso à memória fora dos limites ao tentar ler a árvore `details info` novamente. Isso pode resultar em uma falha de proteção geral. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Name of the Vulnerable Software and Affected Versions: Linux kernel versions through 5.0.4 Description: An issue was discovered in aio poll() in fs/aio.c. A file may be released by aio poll wake() if an expected event is triggered immediately, for example, by the close of a pair of pipes, after the return of vfs poll(), causing a use-after-free. Recommendations: For Linux kernel versions through 5.0.4, update to a version later than 5.0.4 to resolve the issue. At the moment, there is no information about additional mitigation measures for this specific issue.

Name of the Vulnerable Software and Affected Versions: Linux kernel versions prior to 4.11 Description: The issue is related to the blkcg init queue function in the Linux kernel, specifically in the block/blk-cgroup.c file. It is caused by a double free error, which can be exploited by local users. This exploitation may lead to a denial of service or potentially other unspecified impacts. Recommendations: For Linux kernel versions prior to 4.11, update to version 4.11 or later to resolve the issue. As a temporary workaround, consider restricting access to the blkcg init queue function to minimize the risk of exploitation.