Sungwoo Kim

Nome do software vulnerável e versões afetadas: Versões do kernel Linux anteriores à 6.6.61 Descrição: Foi identificada uma falha de desreferência de ponteiro nulo na funcionalidade Bluetooth do kernel do Linux, especificamente na função `hci read supported codecs`. Essa falha ocorre quando a função ` hci cmd sync sk()` retorna NULL para códigos de operação desconhecidos, levando a uma desreferência de ponteiro nulo na função `cmd sync` para `HCI OP READ LOCAL CODECS`. O problema ocorre porque não há uma entrada `hci cc` para `HCI OP READ LOCAL CODECS`, fazendo com que a função assuma um valor de status de `skb->data[0]`. Isso resulta em uma referência a ponteiro nulo no intervalo `[0x0000000000000070-0x0000000000000077]`. Recomendações: Para resolver este problema, atualize o kernel do Linux para a versão 6.6.61 ou posterior. Como solução alternativa temporária, considere desativar a funcionalidade Bluetooth até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.6.37 **Descrição** O problema está relacionado a uma vulnerabilidade de divisão por zero e estouro de inteiro na função `l2cap le flowctl init()`. Essa vulnerabilidade pode ser causada por um valor inválido de `hdev->le mtu`. Para corrigir isso, o MTU é movido de `hci dev` para `hci conn` para validá-lo e interromper o processo de conexão mais cedo caso seja inválido. Além disso, foi adicionada uma validação que faltava em `read buffer size()` para retornar um valor de erro caso a validação falhe. A função `hci conn add()` agora retorna `ERR PTR()`, pois pode falhar devido a uma falha no `kzalloc` ou a um valor de MTU inválido. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.6.37 ou posterior. Como solução alternativa temporária, considere desativar a função `l2cap le flowctl init()` até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o parâmetro `hdev->le mtu` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de uso após liberação (slab-use-after-free) na função `msft do close()`. Essa vulnerabilidade é causada por uma condição de corrida (race condition) em que `msft->data` é liberado em `hci release dev()`, mas ainda é usado em `msft do close()`. A vulnerabilidade pode ser explorada para comprometer a confidencialidade, integridade e disponibilidade de informações protegidas. Os detalhes técnicos sobre a exploração incluem o uso da função `mutex lock()` em um `msft->filter lock` liberado e da função `kfree()` para liberar os dados `msft`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Kernel do Linux (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “slab-use-after-free” na função `l2cap connect()`. Essa vulnerabilidade pode ser explorada devido a uma condição de corrida, permitindo que um invasor possa comprometer a confidencialidade, a integridade e a disponibilidade das informações protegidas. A vulnerabilidade ocorre quando a variável `chan` é liberada prematuramente e, em seguida, sua memória é acessada novamente, levando a uma condição de uso após liberação. A função `l2cap connect()` é usada na implementação do protocolo Bluetooth L2CAP. Os detalhes técnicos sobre a exploração incluem: - A função `l2cap bredr sig cmd` chama `l2cap connect()`, que aloca memória para a variável `chan`. - A função `l2cap conn del` libera a variável `chan`, mas, devido à condição de corrida, a memória pode ser acessada após ter sido liberada. - A vulnerabilidade pode ser acionada explorando-se a condição de corrida entre a alocação e a desalocação da variável `chan`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Linux kernel versions prior to 6.4.10 **Description** The issue is related to the `l2cap sock release` function in the Linux kernel, specifically in the `net/bluetooth/l2cap sock.c` file. It involves a use-after-free error because the children of an `sk` are mishandled. This could potentially allow an attacker to cause a denial of service or have other impacts. **Recommendations** For Linux kernel versions prior to 6.4.10, update to version 6.4.10 or later to resolve the issue. As a temporary workaround, consider restricting access to the `l2cap sock release` function in `net/bluetooth/l2cap sock.c` until a patch is available.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.1.0-rc2 **Descrição** O problema está relacionado a uma vulnerabilidade do Bluetooth no kernel Linux, especificamente um estouro de memória no protocolo L2CAP. Ao enviar pacotes L2CAP CONF REQ continuamente, um invasor pode fazer com que a variável `chan->num conf rsp` aumente várias vezes, eventualmente ultrapassando o número máximo, que é 255. Isso é evitado adicionando-se uma verificação de limite com `L2CAP MAX CONF RSP`. A vulnerabilidade pode ser explorada enviando-se pacotes com tamanhos inválidos. **Recomendações** Para resolver o problema, atualize o kernel do Linux para a versão 6.1.0-rc2 ou posterior. Como solução temporária, considere desativar a funcionalidade Bluetooth até que um patch esteja disponível. Restrinja o acesso ao protocolo L2CAP para minimizar o risco de exploração. Evite usar o tipo de pacote `L2CAP CONF REQ` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux anteriores à 6.0.10 **Descrição** O problema está relacionado a um desbordamento de inteiro na função `l2cap config req`, no arquivo `net/bluetooth/l2cap core.c`, que pode ser explorado por meio de pacotes `L2CAP CONF REQ`. Isso pode permitir que um invasor execute código arbitrário. **Recomendações** Para versões do kernel Linux anteriores à 6.0.10, atualize para a versão 6.0.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função `l2cap config req` em `net/bluetooth/l2cap core.c` para minimizar o risco de exploração.