Jack Pham

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** Existe um cenário possível em que a função `dwc3 gadget init()` pode falhar durante uma mudança de modo de host para periférico na função `dwc3 set mode()`, e um driver de gadget pendente não consegue se vincular. Se o DRD passar por outra mudança de modo, de periférico para host, `dwc3 gadget exit()` tentará referenciar um ponteiro `dwc->gadget` inválido e pendente e chamará `dma free coherent()` em ponteiros DMA não mapeados. O problema pode ser reproduzido iniciando o DWC3 no modo periférico, configurando o gadget ConfigFS com uma instância do FunctionFS, executando o aplicativo FunctionFS no espaço do usuário, vinculando o driver do gadget ao UDC do DWC3, mudando para o modo host, parando o aplicativo FunctionFS, mudando para o modo periférico e, em seguida, de volta para o modo host. Embora o espaço do usuário deva garantir que o aplicativo FunctionFS esteja pronto antes de permitir que o driver composto se vincule ao UDC, a falha em fazer isso não deve resultar em um panic do driver do kernel. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** Foi corrigida uma vulnerabilidade no kernel do Linux relacionada ao gadget usb: dwc3. O problema ocorre quando a estrutura do gadget é liberada antes da liberação dos endpoints, resultando em uma situação de ponteiro pendente. Isso ocorre porque os endpoints criados em dwc3 gadget init endpoints() têm seus membros dep->endpoint.ep list encadeados a partir do list head ancorado em dwc->gadget->ep list. Quando dwc->gadget é liberado, o primeiro dwc3 ep na lista passa a ter um ponteiro prev pendente e o mesmo ocorre com o ponteiro next do dwc3 ep na cauda da lista. A função dwc3 gadget free endpoints() que se segue resultará em um uso após liberação (use-after-free) quando chamar list del(). Isso foi detectado ao habilitar o KASAN e realizar um desligamento do driver. O commit recente 568262bf5492 (“usb: dwc3: core: Adicionar callback de desligamento para dwc3”) também expõe isso como um panic durante o desligamento. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.