Pablo Neira Ayuso

**Nome do Software Vulnerável e Versões Afetadas** Versões do kernel do Linux anteriores a 5.18.0-rc7+ **Descrição** Foi identificado um problema de descadastramento duplo de hooks no componente netfilter nf tables. A função ` nft release hooks()` é chamada a partir do caminho de saída pre netns, o que descadastra os hooks. No entanto, o evento NETDEV UNREGISTER é acionado em seguida, fazendo com que os hooks sejam descadastrados novamente. Este problema está associado a uma mensagem de aviso e a um rastreamento de chamada que inclui a função ` nf unregister net hook+0x247/0x270`. **Recomendações** Para versões do kernel do Linux anteriores a 5.18.0-rc7+, considere atualizar para uma versão mais recente que inclua a correção para este problema. Como solução alternativa temporária, pode ser possível mitigar o risco modificando o caminho pre exit do netns para evitar o descadastramento duplo de hooks. No entanto, sem mais informações, as etapas exatas para esta solução alternativa não estão claras. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Kernel Linux (versões afetadas não especificadas) **Descrição** Foi identificado um problema de vazamento de memória no componente netfilter nf tables do kernel Linux. O problema ocorre porque o caminho de commit não libera os objetos de regra de fluxo, enquanto o caminho de abort o faz. Este problema foi resolvido atualizando o código para destruir esses objetos antes de liberar a transação. **Recomendações** Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do kernel Linux anteriores à 6.6.74 **Descrição** Uma vulnerabilidade no kernel Linux foi corrigida, relacionada ao tamanho da tabela hash do conntrack do netfilter. O problema podia resultar em um potencial WARN ON ONCE em kvmalloc node noprof() ao redimensionar a tabela hash, pois GFP NOWARN não estava definido. A correção envolve limitar o tamanho máximo da tabela hash a INT MAX. O redimensionamento da tabela hash só é possível a partir do init netns. **Recomendações** Para versões do kernel Linux anteriores à 6.6.74, atualize para a versão 6.6.74 ou posterior para resolver o problema. Como medida temporária, considere restringir o redimensionamento da tabela hash do conntrack para prevenir uma possível exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do kernel Linux anteriores à 6.6.74 **Descrição** O kernel Linux apresenta uma vulnerabilidade no módulo netfilter, especificamente na função nft set hash, onde pode ocorrer uma leitura atômica não alinhada na struct nft set ext. Isso ocorre ao acessar o campo genmask na struct nft set ext, resultando em uma leitura atômica não alinhada. O problema pode causar um erro de solicitação de paginação do kernel, levando a uma falha do sistema. Para resolver isso, a struct nft set ext precisa ser alinhada ao tamanho da palavra. **Recomendações** Atualize para a versão 6.6.74 ou posterior do kernel Linux para corrigir a vulnerabilidade. Como solução temporária, considere alinhar a struct nft set ext ao tamanho da palavra para prevenir leituras atômicas não alinhadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões do kernel Linux anteriores a 6.6.74 **Descrição** Uma possível vulnerabilidade de deadlock ABBA foi identificada no kernel Linux, especificamente no módulo netfilter IDLETIMER. Este problema ocorre quando a exclusão da última regra que referencia um idletimer específico acontece simultaneamente à leitura de seu arquivo no sysfs, resultando em uma possível dependência circular de bloqueio. Um reproducer simples para este problema é fornecido, demonstrando como o deadlock pode ocorrer. A vulnerabilidade é resolvida liberando o `list mutex` imediatamente após remover o elemento da lista e, em seguida, prosseguindo com a desmontagem. **Recomendações** Para versões do kernel Linux anteriores a 6.6.74, atualize para a versão 6.6.74 ou posterior para resolver a vulnerabilidade. Como medida temporária, considere evitar a exclusão e leitura simultâneas de regras idletimer para minimizar o risco de deadlock.

Nome do software vulnerável e versões afetadas: Kernel do Linux (versões afetadas não especificadas) Descrição: O problema está relacionado ao componente `nft inner` do kernel do Linux, o que pode levar a uma desreferência de ponteiro NULL a partir do espaço do usuário quando atributos obrigatórios do netlink na carga útil e na expressão meta não são validados. Isso pode causar uma negação de serviço. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao módulo netfilter no kernel do Linux, especificamente à função nft set pipapo. Ele pode causar uma falha ao lidar com grandes lotes de elementos em um padrão de adição/remoção consecutivas. A função de remoção não funciona corretamente se vários elementos compartilharem a mesma chave, o que pode levar à desmapeamento do elemento errado e resultar em uma falha quando o elemento for recuperado durante a pesquisa. O problema surge porque a remoção ocorre em duas etapas: primeiro, pesquisar a chave e marcar o elemento como inativo; e, segundo, remover o elemento do conjunto/mapa. Se um elemento com a mesma chave tiver expirado ou não estiver ativo na próxima geração, a remoção pode desmapear o elemento errado, fazendo com que o elemento não desativado se torne inacessível e levando a uma falha. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado a um tuplo pppoe incorreto no componente netfilter do kernel do Linux. Isso faz com que o tráfego pppoe que chega ao caminho de entrada não corresponda à entrada da tabela de fluxo, uma vez que se espera que o cabeçalho pppoe esteja no deslocamento do cabeçalho de rede. O bug resulta em uma incompatibilidade na consulta da tabela de fluxo, levando os pacotes pppoe a entrarem no caminho de encaminhamento clássico. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma possível corrida de dados na função ` nft obj type get()` no componente `nf tables` do kernel do Linux. Isso ocorre porque `nft unregister obj()` pode ser executada simultaneamente com ` nft obj type get()`, e não há proteção ao iterar pela lista `nf tables objects` em ` nft obj type get()`. Isso pode levar a uma potencial corrida de dados na entrada da lista `nf tables objects`. Para resolver isso, `list for each entry rcu()` é usado para iterar sobre a lista `nf tables objects` em ` nft obj type get()`, e `rcu read lock()` é usado no chamador `nft obj type get()` para proteger todo o processo de consulta de tipo. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.8.0 **Descrição** A vulnerabilidade está relacionada a um problema de uso após liberação (slab-use-after-free) na função `nf tables trans destroy work`. Esse problema pode ser acionado quando um elemento é liberado por meio da fila de trabalho de destruição (destroy workqueue) enquanto o caminho `exit net` já liberou o conjunto usado na transação. A vulnerabilidade pode ser explorada para potencialmente elevar privilégios no sistema. **Recomendações** Para resolver este problema, atualize o kernel do Linux para uma versão que inclua a correção para esta vulnerabilidade. Especificamente, as versões 6.8.0 e posteriores devem incluir os patches necessários para resolver este problema. Para versões do kernel do Linux anteriores à 6.8.0: Como solução temporária, considere desativar o módulo `nf tables` até que um patch esteja disponível. No entanto, isso pode ter implicações significativas para a filtragem de rede e a segurança, portanto, deve ser cuidadosamente avaliado com base no caso de uso específico e nos requisitos de segurança do sistema. No momento, não há informações sobre outras versões mais recentes que contenham uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Kernel do Linux (versões afetadas não especificadas) Descrição: O problema está relacionado ao componente netfilter, especificamente às nf tables, onde uma atualização do sinalizador de descarte da tabela com exclusão pendente da cadeia base pode fazer com que um hook permaneça registrado no núcleo após a exclusão de sua cadeia base. Isso ocorre quando o cancelamento do registro do hook é adiado para a fase de commit e combinado com atualizações do hook acionadas pelo sinalizador de inatividade da tabela. A vulnerabilidade pode permitir que um invasor cause uma negação de serviço. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada ao componente netfilter do kernel do Linux, especificamente ao módulo nf tables. Quando o sinalizador “dormant” é ativado, os ganchos são desativados na fase de confirmação (commit) por meio de uma iteração pelas cadeias atuais na tabela. Uma configuração que permita um estado inconsistente pode acionar um aviso ao tentar cancelar o registro de uma cadeia que já está cancelada. Essa falha pode ser explorada para elevar privilégios no sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao componente netfilter do kernel do Linux, especificamente ao módulo nft ct. Trata-se de uma validação insuficiente dos dados inseridos pelo usuário na função `nft ct expect obj init()`, o que pode levar a uma negação de serviço. A vulnerabilidade é corrigida pela sanitização dos números de protocolo das camadas 3 e 4 em expectativas personalizadas, proibindo famílias diferentes de NFPROTO {IPV4,IPV6,INET} e proibindo protocolos da camada 4 sem portas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado a um vazamento de memória na função `nf tables updchain` do componente netfilter do kernel do Linux. Quando `nft netdev register hooks()` falha, a memória associada a `nft stats` não é liberada, causando um vazamento de memória. Isso pode levar a uma negação de serviço. O patch corrige o problema movendo `nft stats alloc()` para depois de `nft netdev register hooks()` ser executado com sucesso. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** A vulnerabilidade está relacionada ao componente netfilter do kernel do Linux, especificamente à funcionalidade de ponte. Ela ocorre quando a lógica nf confirm do conntrack não consegue lidar com skbs clonados que fazem referência à mesma entrada nf conn, o que acontece com quadros de multicast ou broadcast em pontes. Isso pode levar a uma condição de corrida entre o trabalhador de broadcast do Macvlan e o caminho de confirmação normal. Para contornar esse problema, é necessária uma confirmação explícita da entrada no momento LOCAL IN antes que a camada superior tenha a chance de clonar a entrada não confirmada. No entanto, essa solução alternativa desativa os auxiliares NAT e conntrack. Uma correção alternativa seria adicionar bloqueio a todas as partes do código que lidam com pacotes não confirmados, mas isso gera outros problemas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Kernel do Linux (versões afetadas não especificadas) Descrição: O problema está relacionado ao componente netfilter, especificamente à função nft flow offload, na qual o dst é transferido para o objeto flow, e o objeto route deixa de ser seu proprietário. Se a função flow offload add() falhar, o caminho de erro libera o dst duas vezes, levando a um subfluxo de contagem de referências. Isso pode potencialmente permitir que um invasor execute código arbitrário. Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux da v5.9 à v6.6 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” no componente Netfilter do kernel Linux, especificamente na função nft chain filter. Essa vulnerabilidade pode levar a uma escalada de privilégios local. O problema surge quando uma referência obsoleta a um dispositivo de rede permanece na lista de ganchos após um evento NETDEV UNREGISTER ser relatado. **Recomendações** Como solução temporária, considere desativar a função `nft chain filter` até que um patch esteja disponível. Restrinja o acesso ao componente Netfilter para minimizar o risco de exploração. Atualize para uma versão do kernel Linux que contenha a correção para o problema netfilter: nft chain filter: handle NETDEV UNREGISTER for inet/ingress basechain.

**Name of the Vulnerable Software and Affected Versions** Linux kernel (affected versions not specified) **Description** A flaw was found in the Netfilter subsystem in the Linux kernel. The issue is in the `nft byteorder eval()` function, where the code iterates through a loop and writes to the `dst` array. On each iteration, 8 bytes are written, but `dst` is an array of u32, so each element only has space for 4 bytes. That means every iteration overwrites part of the previous element corrupting this array of u32. This flaw allows a local user to cause a denial of service or potentially break NetFilter functionality. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Linux kernel (affected versions not specified) **Description** The issue is related to a memory leak in the netfilter nf tables module when more than 255 elements expire. This causes the system to recycle the initial gc container structure and lose track of previous elements. The `nft trans gc space()` function always returns true, preventing the switch to a new gc container structure. This can impact the confidentiality, integrity, and availability of protected information. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado ao componente netfilter do kernel Linux, especificamente ao módulo nf tables. Trata-se da não desativação do tempo limite para conjuntos anônimos, que nunca são utilizados a partir do espaço do usuário. A vulnerabilidade pode permitir que um invasor cause uma negação de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.