Shinichiro Kawasaki

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.12.0-rc6-kts+ **Descrição** Foi identificada uma vulnerabilidade do tipo “use-after-free” no kernel do Linux, especificamente na função btrfs encoded read endio(). Este problema foi relatado por Shinichiro e ocorre ao executar o fstests' btrfs/284 em um dispositivo TCMU runner. A vulnerabilidade é causada por um erro de “slab-use-after-free” na função lock release(). O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa falha tenha sido explorada. Os detalhes técnicos sobre a exploração incluem: - A função `btrfs encoded read endio()` está vulnerável. - A função `lock release()` também está envolvida na vulnerabilidade. - O problema está relacionado a um erro de uso de slab após liberação. **Recomendações** Para resolver o problema, atualize o kernel do Linux para uma versão que inclua a correção para a vulnerabilidade de uso após liberação na função btrfs encoded read endio(). Como solução alternativa temporária, considere desativar a função `btrfs encoded read endio()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema decorre do tratamento dado pelo kernel do Linux ao suporte a discard para zonas convencionais em dispositivos de bloco com zonas. A função `f2fs bdev support discard()` verifica se há suporte a discard, mas essa verificação não funciona corretamente para zonas convencionais. Como resultado, ` submit discard cmd()` pode chamar ` blkdev issue discard()` mesmo quando o dispositivo não suporta descarte, levando a um ponteiro NULL e acionando `f2fs bug on()`. Esse problema ocorreu após um commit ter alterado o comportamento de ` blkdev issue discard()` para que não verificasse mais o suporte a descarte. **Recomendações** Para corrigir o problema, evite a chamada inadequada de ` blkdev issue discard()` verificando se o dispositivo suporta descarte antes de chamá-la. Se o dispositivo não suportar descarte, retorne EOPNOTSUPP. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.43 **Descrição** A vulnerabilidade está relacionada a um possível problema de adição de lista paralela na função btrfs reclaim bgs work, o que pode causar corrupção da lista e acionar um bug no kernel. O problema pode ser reproduzido quando a realocação não consegue encontrar mais espaço de chunk e termina com ENOSPC. A vulnerabilidade é corrigida ao adquirir o bloqueio fs info->unused bgs lock. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.43 ou posterior. Se a atualização não for possível, considere adquirir o fs info->unused bgs lock para impedir a adição paralela de listas e a corrupção da lista. No entanto, esta é uma solução alternativa temporária e a atualização do kernel é a solução recomendada. No momento, não há informações sobre outras versões que contenham uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.10.0-rc2-kts+ **Descrição** O problema está relacionado a uma desreferência de ponteiro NULL na função `btrfs zone finish endio()` ao executar o caso de teste `btrfs/167` em dispositivos com zonas emulados. Isso ocorre porque o `ordered extent` não possui uma lista de checksums, o que é esperado ao realizar uma gravação NOCOW. A função `btrfs zone finish endio()` é chamada ao concluir uma operação de E/S em um dispositivo com zonas. Para explorar essa vulnerabilidade, um invasor precisaria ser capaz de executar o caso de teste `btrfs/167` em um dispositivo com zonas emulado, o que pode exigir configurações específicas de hardware e software. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.37 **Descrição** O problema ocorre quando o recurso de múltiplos dispositivos está habilitado no kernel Linux, especificamente com o sistema de arquivos f2fs. Nesse cenário, a função `f2fs map blocks()` pode retornar um endereço de bloco zero em dispositivos não primários, o que é um endereço de bloco válido. No entanto, a função `f2fs iomap begin()` trata isso como um endereço de bloco inválido, acionando um aviso no código da estrutura iomap. Esse aviso é detectado durante o teste zbd/010, que verifica o suporte à zona de lacuna com o F2FS. A causa raiz do problema é a suposição incorreta em `f2fs iomap begin()` sobre o endereço de bloco físico de todo o sistema de arquivos f2fs. Para corrigir esse problema, é utilizada uma abordagem mais direta, verificando a condição `(map.m flags & F2FS MAP MAPPED)` em vez de `(map.m pblk != NULL ADDR)`. **Recomendações** Para resolver este problema, atualize o kernel do Linux para a versão 6.6.37 ou posterior. Como solução temporária, considere desativar o recurso de múltiplos dispositivos no sistema de arquivos f2fs até que a atualização possa ser aplicada.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.8.0-rc5-kts #1 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” na função `do zone finish()` do módulo btrfs. Essa vulnerabilidade pode ser acionada por uma operação de substituição de dispositivo no fstests btrfs/070, causando um erro de uso após liberação de slab. A sequência de eventos que leva a essa vulnerabilidade envolve a substituição de dispositivos, a liberação de um dispositivo de origem e o acesso subsequente a informações desatualizadas da zona do dispositivo removido. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: Versões do kernel Linux anteriores à 6.8-rc7 Descrição: O problema está relacionado a uma vulnerabilidade de liberação dupla na função `ns update nuse()`, que pode levar a uma negação de serviço. Quando `nvme identify ns()` falha, ela libera o ponteiro para a `struct nvme id ns` antes de retornar. No entanto, `ns update nuse()` chama `kfree()` para o ponteiro mesmo quando `nvme identify ns()` falha, resultando em um erro de liberação dupla KASAN. Isso foi observado com `blktests nvme/045` e patches propostos no kernel `v6.8-rc7`. A vulnerabilidade pode ser explorada para causar uma negação de serviço. Recomendações: Para resolver o problema, atualize o kernel do Linux para uma versão que inclua a correção para a vulnerabilidade de liberação dupla em `ns update nuse()`. Como solução temporária, considere desativar a função `ns update nuse()` até que um patch esteja disponível. Restrinja o acesso ao módulo `nvme` vulnerável para minimizar o risco de exploração. Evite usar a função `nvme identify ns()` nas versões do kernel afetadas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** Foi encontrada uma vulnerabilidade de deadlock no kernel do Linux, especificamente no sistema de arquivos btrfs. O problema ocorre quando o ioctl de desativação de quota inicia uma transação antes de aguardar a conclusão do worker de reanálise do qgroup, resultando em uma dependência circular entre o ioctl de desativação de quota, o worker de reanálise do qgroup e outras tarefas com transações. Isso pode levar a uma espera infinita e a um deadlock. A vulnerabilidade foi descoberta usando o caso de teste fstests btrfs/115 e um dispositivo zoned null blk. É fornecido um relatório de exemplo do impasse, mostrando tarefas bloqueadas por mais de 122 segundos. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do kernel do Linux anteriores a 5.15 **Descrição** Foi identificada uma vulnerabilidade do tipo use-after-free no kernel do Linux, especificamente no componente fsl-mc-bus. O problema ocorre quando `mc->root mc bus dev` é liberado em `fsl mc device remove()`, mas seu `mc io` ainda é referenciado e passado para `fsl destroy mc io()` em `fsl mc bus remove()`. Isso dispara um erro use-after-free do KASAN. A questão pode ser resolvida mantendo uma referência local para `mc->root mc bus dev->mc io` e passando-a para `fsl destroy mc io()`. **Recomendações** Para versões do kernel do Linux anteriores a 5.15, como um contorno temporário, considere modificar a função `fsl mc bus remove()` para manter uma referência local para `mc->root mc bus dev->mc io` antes de passá-la para `fsl destroy mc io()`. No entanto, este patch pode exigir retrabalho para ser aplicado em kernels anteriores à v5.15. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 5.13.0-rc1+ #34 **Descrição** Foi corrigida uma vulnerabilidade no kernel do Linux, especificamente no scsi: target: core, onde a função smp processor id() era chamada em código preemptível, acionando uma mensagem de BUG. Esse problema foi observado ao executar o blktests block/005 em dispositivos TCMU com backend fileio ou backend user:zbc, e também no desligamento do sistema quando os dispositivos TCMU não foram limpos. O commit 1130b499b4a7 modificou a fila de trabalho para lidar com comandos e alterou ‘current->nr cpu allowed’ na chamada smp processor id(), provocando o sintoma. Para evitar esse problema, o ID da CPU agora é obtido com raw smp processor id(). **Recomendações** Para resolver este problema, atualize o kernel do Linux para uma versão mais recente que 5.13.0-rc1+ #34. Como solução temporária, considere desativar a função `smp processor id()` até que um patch esteja disponível. No entanto, como o problema já foi resolvido usando `raw smp processor id()` em vez disso, atualizar o kernel deve ser suficiente.