Ubuntu 14.04 LTS / 16.04 LTS : Linux カーネルの脆弱性 (USN-6739-1)

high Nessus プラグイン ID 193594

Language:

概要

リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの Ubuntu 14.04 LTS / 16.04 LTS ホストには、USN-6739-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Linux カーネルでは、次の脆弱性が解決されています。i2c: 潜在的な use-after-free を修正します。adap 構造は使用後にのみ解放されます。このパッチは、put_device() をわずかに下へ移動して use-after-free を回避します。[wsa: コードにコメントを追加、修正タグを追加] (CVE-2019-25162)

- Linux カーネルで、以下の脆弱性が解決されています。net: tw_timer_handler のメモリ解放後使用 (Use After Free) を修正します。Linux 5.4 で次のような現実のパニック問題が見つかりました。バグ: 次のアドレスのページ障害を処理できません: ffffde49a863de28 PGD 7e6fe62067 P4D 7e6fe62067 PUD 7e6fe63067 PMD f51e064067 PTE 0 RIP:
0010:tw_timer_handler+0x20/0x40 呼び出しトレース: <IRQ> call_timer_fn+0x2b/0x120 run_timer_softirq+0x1ef/0x450
__do_softirq+0x10d/0x2b8 irq_exit+0xc7/0xd0 smp_apic_timer_interrupt+0x68/0x120 apic_timer_interrupt+0xf/0x20 この問題は 2017 年以降もスレッド [1] に報告されましたが、残念ながら DCCP の修正後もこの問題は再現される可能性があります。tcp_sk_ops が ipv4_mib_ops の前に登録されているため、ネットの名前空間が破壊されると、tcp_sk_exit_batch の前に ipv4_mib_exit_net が呼び出されます。これは、tcp_sk_ops が pernet_list のリストで ipv4_mib_ops の前にあることを意味します。いくつかの inflight time-wait タイマーが存在する場合、ipv4_mib_exit_net の後に tw_timer_handler の net->mib.net_statistics でメモリ解放後使用 (Use After Free) が起こります。このバグは、コミット f2bf415cfed7 (mib: NET_ADD_STATS_BH に net を追加) では発生しません。これは、net_statistics が、動的な割り当てと解放ではなくグローバル変数であるためです。実際、コミット 61a7e26028b9 (mib: put netstatistics on struct net) は、net 構造体に net 統計を置き、net 名前空間が破壊されると解放するため、バグを導入します。init_ipv4_mibs() を tcp_init() の前面に移動してこのバグを修正し、pr_crit() を panic() に置き換えます。これは、init_ipv4_mibs() が失敗した場合、続行しても意味がないためです。[1] https://groups.google.com/g/syzkaller/c/p1tn-_Kc6l4/m/smuL_FMAAgAJ?pli=1 (CVE-2021-46936)

- Linux カーネルで、次の脆弱性が解決されました。openvswitch: KASAN でビルドされたカーネルで実行されている openvswitch による IPv4 パケットの断片化中のスタック OOB 読み取りの修正。IPv4 パケットの断片化をテストしている間に、次のようなスプラットが表示される可能性があります: BUG: KASAN: stack-out-of-bounds in ip_do_fragment+0x1b03/0x1f60 Read of size 1 at addr ffff888112fc713c by task handler2/1367 CPU: 0 PID:
1367 Comm: handler2 Not tainted 5.12.0-rc6+ #418 Hardware name: Red Hat KVM, BIOS 1.11.1-4.module+el8.1.0+4066+0f1aadab 04/01/2014 Call Trace: dump_stack+0x92/0xc1 print_address_description.constprop.7+0x1a/0x150 kasan_report.cold.13+0x7f/0x111 ip_do_fragment+0x1b03/0x1f60 ovs_fragment+0x5bf/0x840 [openvswitch] do_execute_actions+0x1bd5/0x2400 [openvswitch] ovs_execute_actions+0xc8/0x3d0 [openvswitch] ovs_packet_cmd_execute+0xa39/0x1150 [openvswitch] genl_family_rcv_msg_doit.isra.15+0x227/0x2d0 genl_rcv_msg+0x287/0x490 netlink_rcv_skb+0x120/0x380 genl_rcv+0x24/0x40 netlink_unicast+0x439/0x630 netlink_sendmsg+0x719/0xbf0 sock_sendmsg+0xe2/0x110 ____sys_sendmsg+0x5ba/0x890 ___sys_sendmsg+0xe9/0x160 __sys_sendmsg+0xd3/0x170 do_syscall_64+0x33/0x40 entry_SYSCALL_64_after_hwframe+0x44/0xae RIP: 0033:0x7f957079db07 Code: c3 66 90 41 54 41 89 d4 55 48 89 f5 53 89 fb 48 83 ec 10 e8 eb ec ff ff 44 89 e2 48 89 ee 89 df 41 89 c0 b8 2e 00 00 00 0f 05 <48> 3d 00 f0 ff ff 77 35 44 89 c7 48 89 44 24 08 e8 24 ed ff ff 48 RSP: 002b:00007f956ce35a50 EFLAGS: 00000293 ORIG_RAX: 000000000000002e RAX: ffffffffffffffda RBX: 0000000000000019 RCX:
00007f957079db07 RDX: 0000000000000000 RSI: 00007f956ce35ae0 RDI: 0000000000000019 RBP: 00007f956ce35ae0 R08: 0000000000000000 R09: 00007f9558006730 R10: 0000000000000000 R11: 0000000000000293 R12:
0000000000000000 R13: 00007f956ce37308 R14: 00007f956ce35f80 R15: 00007f956ce35ae0 The buggy address belongs to the page: page:00000000af2a1d93 refcount:0 mapcount:0 mapping:0000000000000000 index:0x0 pfn:0x112fc7 flags: 0x17ffffc0000000() raw: 0017ffffc0000000 0000000000000000 dead000000000122 0000000000000000 raw: 0000000000000000 0000000000000000 00000000ffffffff 0000000000000000 page dumped because: kasan: bad access detected addr ffff888112fc713c is located in stack of task handler2/1367 at offset 180 in frame: ovs_fragment+0x0/0x840 [openvswitch] this frame has 2 objects: [32, 144) 'ovs_dst' [192, 424) 'ovs_rt' Memory state around the buggy address: ffff888112fc7000: f3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ffff888112fc7080: 00 f1 f1 f1 f1 00 00 00 00 00 00 00 00 00 00 00 >ffff888112fc7100: 00 00 00 f2 f2 f2 f2 f2 f2 00 00 00 00 00 00 00 ^ ffff888112fc7180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ffff888112fc7200: 00 00 00 00 00 00 f2 f2 f2 00 00 00 00 00 00 00 for IPv4 packets, ovs_fragment() uses a temporary struct dst_entry. 次に、呼び出しグラフで、ip_do_fragment() ip_skb_dst_mtu() ip_dst_mtu_maybe_forward() ip_mtu_locked() struct dst_entry へのポインターが struct rtable へのポインターとして使用されます。これにより、rt_mtu_locked のような struct メンバーへのアクセスがスタック内の OOB 読み取りに変換されます。IPv6 の数行下で行われているのと同様に、ovs_fragment() 内で IPv4パケット用の一時変数を変更してこれを修正します。(CVE-2021-46955)

- Linux カーネルでは、次の脆弱性が解決されています。ACPI: custom_method: 潜在的な use-after-free の問題を修正します。cm_write() では、buf が関数の終端に達すると常に解放されます。リクエストされたカウントが table.length 未満の場合、割り当てられたバッファは解放されますが、cm_write() への後続の呼び出しで引き続きアクセスが試みられます。関数の末尾にある無条件の kfree(buf) を削除し、-EINVAL エラーパスで buf を NULL に設定して、関数の残りの部分と一致させます。(CVE-2021-46966)

- Linux カーネルで、次の脆弱性が解決されました。powerpc/64s: エントリフラッシュバリアの切り替え時のクラッシュを修正しました。エントリフラッシュの軽減は、ランタイムで debugfs ファイル (entry_flush) を介して有効化 / 無効化できます。これにより、カーネル自体にパッチを適用し関連する軽減策を有効化 / 無効化できます。ただし、使用している軽減策によっては、他の CPU がアクティブなときにパッチを適用するのが安全ではない場合もあります。例えば、次のクラッシュ: sleeper[15639]: segfault (11) at c000000000004c20 nip c000000000004c20 lr c000000000004c20 は、部分的にパッチされたフォールバックエントリフラッシュへの呼び出しを実行することにより、カーネルを指す破損した LR でユーザースペースに戻ったことを示しています (つまり、LR のリストアが見逃された)。stop machine の状態でパッチを適用して修正してください。パッチを実行していない CPU は、stop machine ロジックのコアで動作を続けます。そのコードまたはその周辺でパッチは行われていないため、現時点ではこのままで問題ありません。(CVE-2021-46990)

- armv8_deprecated.c の emulation_proc_handler に、競合状態によりメモリを破損する可能性のある方法があります。これにより、追加の実行権限が不要になり、ローカルで権限が昇格される可能性があります。この脆弱性の悪用にはユーザーの操作は必要ありません。製品: Android バージョン: Android カーネル Android ID: A-237540956 リファレンス: Upstream カーネル (CVE-2022-20422)

- Linux カーネルで、con が割り当てられ、con->sock が設定されているデータ競合の欠陥が見つかりました。この問題により、Linux カーネルの tipc プロトコルの net/tipc/topsrv.c で con->sock->sk にアクセスする際に、NULL ポインターデリファレンスが発生します。(CVE-2023-1382)

- Linux カーネルでは、prctl を PR_SET_SPECULATION_CTRL で呼び出して投機機能を無効にするとともに、seccomp を使用することで、ユーザー空間プロセスが緩和を有効にできるようにします。少なくとも 1 つの主要なクラウドプロバイダーの VM では、prctl で spectre-BTI 緩和を有効にした後でも、カーネルが被害者のプロセスを攻撃にさらしたままであることがわかりました。起動コマンドラインで強制的に IBRS を緩和させると、ベアメタルマシンでも同じ動作が観察される可能性があります。これは、プレーン IBRS が有効な場合 (拡張 IBRS ではなく) に、カーネルに STIBP が不要であると判断するロジックがあるために発生しました。IBRS ビットは、クロススレッドブランチターゲットインジェクションから暗黙的に保護します。
ただし、レガシー IBRS では、パフォーマンス上の理由から、ユーザー空間に戻るときに IBRS ビットがクリアされていました。これにより、暗黙的な STIBP が無効になり、ユーザー空間のスレッドが、STIBP が保護するクロススレッドブランチターゲットインジェクションに対して脆弱になっていました。(CVE-2023-1998)

- Bluetooth Core Specification 4.2 から 5.4 を介して Secure Simple Pairing および Secure Connections ペアリングを使用する Bluetooth BR/EDR デバイスは、特定の中間者攻撃を許可します。これにより、短いキー長が強制され、暗号化キーの検出やライブインジェクションが発生する可能性があります。これは、BLUFFS としても知られています。(CVE-2023-24023)

- 6.4.5 より前の Linux カーネルでは、非ブロッキングアトミックコミットとドライバーアンロードの間の競合状態の間、drivers/gpu/drm/drm_atomic.c にメモリ解放後使用 (Use After Free) があります。(CVE-2023-51043)

- 6.6.8 までの Linux カーネルの net/bluetooth/af_bluetooth.c の bt_sock_recvmsg には、bt_sock_ioctl の競合状態によるメモリ解放後使用 (Use After Free) があります。(CVE-2023-51779)

- 6.7.4 までの Linux カーネルの drivers/md/dm-table.c 内の dm_table_create は、dm_ioctl.target_count 構造のチェックがないため、(alloc_targets で) INT_MAX バイトを超えて割り当てようとして、クラッシュする可能性があります。(CVE-2023-52429)

- Linux カーネルでは、次の脆弱性が解決されています。メディア: pvrusb2: コンテキスト切断時のメモリ解放後使用 (Use After Free) を修正します。モジュールがロードされると、pvr2_context_thread_func 関数をターゲットとする kthread が作成されます。これにより、pvr2_context_destroy を呼び出し、コンテキストオブジェクトで kfree() を呼び出す可能性があります。ただし、これは usb hub_event ハンドラーがドライバーに通知できるようになる前に発生する可能性があります。このパッチは、syzbot により報告される無効な読み取りの前に、コンテキスト切断コールスタック内でのサニティチェックを追加します。(CVE-2023-52445)

- Linux カーネルで、次の脆弱性が解決されています。powerpc/pseries/memhp: drmem 配列の終端を超えたアクセスを修正します。LMB 検索が特定の DRC インデックスによるエントリと一致しない場合、dlpar_memory_remove_by_index() が drmem lmb 配列の境界を超えてアクセスする可能性があります。検索が失敗すると、カーソルは &drmem_info->lmbs[drmem_info->n_lmbs] を指したままになります。これは、配列の最後の有効なエントリの後の 1 要素です。関数の末尾にあるデバッグメッセージは、このポインターを逆参照します。
pr_debug(%llx\n、lmb->base_addr でメモリをホットリムーブすることに失敗しました)。これは、検査の結果見つかり、KASAN で確認されました。pseries-hotplug-mem: LMB をホットリムーブしようとします、drc index 1234 ================================================================== BUG: KASAN: dlpar_memory+0x298/0x1658 の slab-out-of-bounds タスク bash/949 dump_stack_lvl+0xa4/0xfc (信頼できない) による addr c000000364e97fd0 でのサイズ 8 の読み取り
__asan_load8+0xa8/0xe0 dlpar_memory+0x298/0x1658 handle_dlpar_errorlog+0x130/0x1d0 dlpar_store+0x18c/0x3e0 kobj_attr_store+0x68/0xa0 sysfs_kf_write+0xc4/0x110 kernfs_fop_write_iter+0x26c/0x390 vfs_write+0x2d4/0x4e0 ksys_write+0xac/0x1a0 system_call_exception+0x268/0x530 system_call_vectored_common+0x15c/0x2ec Allocated by task 1: kasan_save_stack+0x48/0x80 kasan_set_track+0x34/0x50 kasan_save_alloc_info+0x34/0x50 __kasan_kmalloc+0xd0/0x120 __kmalloc+0x8c/0x320 kmalloc_array.constprop.0+0x48/0x5c drmem_init+0x2a0/0x41c do_one_initcall+0xe0/0x5c0 kernel_init_freeable+0x4ec/0x5a0 kernel_init+0x30/0x1e0 ret_from_kernel_user_thread+0x14/0x1c バグのあるアドレスは、13kloc のサイズ 131072 のキャッシュ kmalloc-128k に属する c000000364e80000 のオブジェクトに属します。バグのあるアドレスは、割り当てられた 98256 バイトの領域[c000000364e80000、c000000364e97fd0) の右の 0 バイトに配置されています ================================================================== pseries-hotplug-mem:
0 でメモリをホットリムーブするのに失敗しました。失敗した検索を別のメッセージでログし、有効なエントリを指している場合にのみカーソルをデリファレンスします。(CVE-2023-52451)

- Linux カーネルでは、以下の脆弱性が解決されています。jfs: jfs_evict_inode の uaf を修正します diMount(ipimap) の実行が失敗したときに、リリースされた ipimap のオブジェクトが、diFreeSpecial() でアクセスされる可能性があります。rcu_core() が jfs_free_node() を呼び出す際に、非同期の ipimap リリースが発生します。したがって、diMount(ipimap) が失敗した場合、sbi->ipimap は ipimap として初期化されるべきではありません。(CVE-2023-52600)

- Linux カーネルにおいて、以下の脆弱性は解決されています。UBSAN: dtSplitRoot 内の array-index-out-of-bounds Syzkaller は、次の問題を報告しました。oop0: 0 から 32768 への容量変更を検出しました UBSAN:
fs/jfs/jfs_dtree.c:1971:9 内の array-index-out-of-bounds index -2 はタイプ「struct dtslot [128]」の範囲外です CPU: 0 PID: 3613 Comm: syz-executor270 汚染なし 6.0.0-syzkaller-09423-g493ffd6605b2 #0 ハードウェア名: Google Google Compute Engine/Google Compute Engine、BIOS Google 09/22/2022 呼び出しトレース: <TASK>
__dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x1b1/0x28e lib/dump_stack.c:106 ubsan_epilogue lib/ubsan.c:151 [inline] __ubsan_handle_out_of_bounds+0xdb/0x130 lib/ubsan.c:283 dtSplitRoot+0x8d8/0x1900 fs/jfs/jfs_dtree.c:1971 dtSplitUp fs/jfs/jfs_dtree.c:985 [inline] dtInsert+0x1189/0x6b80 fs/jfs/jfs_dtree.c:863 jfs_mkdir+0x757/0xb00 fs/jfs/namei.c:270 vfs_mkdir+0x3b3/0x590 fs/namei.c:4013 do_mkdirat+0x279/0x550 fs/namei.c:4038 __do_sys_mkdirat fs/namei.c:4053 [inline] __se_sys_mkdirat fs/namei.c:4051 [inline] __x64_sys_mkdirat+0x85/0x90 fs/namei.c:4051 do_syscall_x64 arch/x86/entry/common.c:50 [inline] do_syscall_64+0x3d/0xb0 arch/x86/entry/common.c:80 entry_SYSCALL_64_after_hwframe+0x63/0xcd RIP: 0033:0x7fcdc0113fd9 Code: ff ff c3 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 40 00 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 c0 ff ff ff f7 d8 64 89 01 48 RSP: 002b:00007ffeb8bc67d8 EFLAGS: 00000246 ORIG_RAX: 0000000000000102 RAX: ffffffffffffffda RBX: 0000000000000000 RCX: 00007fcdc0113fd9 RDX:
0000000000000000 RSI: 0000000020000340 RDI: 0000000000000003 RBP: 00007fcdc00d37a0 R08: 0000000000000000 R09: 00007fcdc00d37a0 R10: 00005555559a72c0 R11: 0000000000000246 R12: 00000000f8008000 R13:
0000000000000000 R14: 00083878000000f8 R15: 0000000000000000 </TASK> この問題は、fsi の値が -1 未満になると発生します。fsi 値が -1 になったときにループをブレークするためのチェックが存在しますが、syzbot が -1 未満の値を生成することができたため、エラーが発生します。このパッチは、単に 0 未満の値の変更を追加するだけです。パッチは syzbot を介してテストされています。(CVE-2023-52603)

- 6.7.1 までの Linux カーネルの drivers/md/dm-ioctl.c の copy_params は、param_kernel->data_size チェックがないため、INT_MAX バイトを超える割り当てを試みてクラッシュする可能性があります。これは、ctl_ioctl に関連しています。(CVE-2024-23851)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるカーネルパッケージを更新してください。

参考資料

https://ubuntu.com/security/notices/USN-6739-1

プラグインの詳細

深刻度: High

ID: 193594

ファイル名: ubuntu_USN-6739-1.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

ファミリー: Ubuntu Local Security Checks

公開日: 2024/4/19

更新日: 2024/4/19

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-52451

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 7

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:canonical:ubuntu_linux:14.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.4.0-1130-aws, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.4.0-1131-kvm, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.4.0-1168-aws, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.4.0-253-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-4.4.0-253-lowlatency

必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2024/4/19

脆弱性公開日: 2022/10/11

参照情報

CVE: CVE-2019-25162, CVE-2021-46936, CVE-2021-46955, CVE-2021-46966, CVE-2021-46990, CVE-2022-20422, CVE-2023-1382, CVE-2023-1998, CVE-2023-24023, CVE-2023-51043, CVE-2023-51779, CVE-2023-52429, CVE-2023-52445, CVE-2023-52451, CVE-2023-52600, CVE-2023-52603, CVE-2024-23851

USN: 6739-1