Ubuntu 22.04 LTS/23.10：Linux 核心弱點 (USN-6743-1)

high Nessus Plugin ID 193592

語系：

概要

遠端 Ubuntu 主機缺少一個或多個安全性更新。

說明

遠端 Ubuntu 22.04 LTS/23.10 主機上安裝的一個套件會受到 USN-6743-1 公告中所提及的多個弱點影響。

- 在 Linux 核心中，下列弱點已修正：jfs：修正 jfs_evict_inode 中的 uaf 執行 diMount(ipimap) 失敗時，已釋放的物件 ipimap 或可在 diFreeSpecial() 中進行訪問。rcu_core() 呼叫 jfs_free_node() 時發生非同步 ipimap 釋放。因此，diMount(ipimap) 失敗時，sbi->ipimap 不應被初始化為 ipimap。(CVE-2023-52600)

- 在 Linux 核心中，下列弱點已修正：UBSAN：dtSplitRoot 中的 array-index-out-of-bounds Syzkaller 報告了以下問題：oop0：檢測到容量變化範圍在 0 到 32768 之间 UBSAN：
fs/jfs/jfs_dtree.c:1971:9 索引 -2 中的 array-index-out-of-bounds 超出類型「struct dtslot [128]」的範圍 CPU：0 PID：3613 命令：syz-executor270 未污染 6.0.0-syzkaller-09423-g493ffd6605b2 #0 硬體名稱：Google Google Compute Engine/Google Compute Engine，BIOS Google 09/22/2022 呼叫追蹤：<TASK>
__dump_stack lib/dump_stack.c:88 [inline] dump_stack_lvl+0x1b1/0x28e lib/dump_stack.c:106 ubsan_epilogue lib/ubsan.c:151 [inline] __ubsan_handle_out_of_bounds+0xdb/0x130 lib/ubsan.c:283 dtSplitRoot+0x8d8/0x1900 fs/jfs/jfs_dtree.c:1971 dtSplitUp fs/jfs/jfs_dtree.c:985 [inline] dtInsert+0x1189/0x6b80 fs/jfs/jfs_dtree.c:863 jfs_mkdir+0x757/0xb00 fs/jfs/namei.c:270 vfs_mkdir+0x3b3/0x590 fs/namei.c:4013 do_mkdirat+0x279/0x550 fs/namei.c:4038 __do_sys_mkdirat fs/namei.c:4053 [inline] __se_sys_mkdirat fs/namei.c:4051 [inline] __x64_sys_mkdirat+0x85/0x90 fs/namei.c:4051 do_syscall_x64 arch/x86/entry/common.c:50 [inline] do_syscall_64+0x3d/0xb0 arch/x86/entry/common.c:80 entry_SYSCALL_64_after_hwframe+0x63/0xcd RIP：0033:0x7fcdc0113fd9 程式碼：ff ff c3 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 40 00 48 89 f8 48 89 f7 48 89 d6 48 89 ca 4d 89 c2 4d 89 c8 4c 8b 4c 24 08 0f 05 <48> 3d 01 f0 ff ff 73 01 c3 48 c7 c1 c0 ff ff ff f7 d8 64 89 01 48 RSP：002b:00007ffeb8bc67d8 EFLAGS：00000246 ORIG_RAX：0000000000000102 RAX：ffffffffffffffda RBX：0000000000000000 RCX：00007fcdc0113fd9 RDX：
0000000000000000 RSI：0000000020000340 RDI：0000000000000003 RBP：00007fcdc00d37a0 R08：0000000000000000 R09：00007fcdc00d37a0 R10：00005555559a72c0 R11：0000000000000246 R12：00000000f8008000 R13：
0000000000000000 R14：00083878000000f8 R15：0000000000000000 </TASK> 此問題因 fsi 的值小於 -1 所致。雖然系統可以檢查 fsi 值變為 -1 是否會發生迴圈中斷，但 syzbot 能夠產生小於 -1 的值 (導致錯誤)。此修補程式只針對小於 0 的值新增變更。此修補程式已經過 syzbot 測試。(CVE-2023-52603)

- 在 Linux 核心中，下列弱點已修正：netfilter：nft_set_rbtree：跳過來自 gc 的結束間隔元素插入時，rbtree lazy gc 可能會收集此交易中剛新增的結束間隔元素，略過尚未啟用的結束間隔元素。(CVE-2024-26581)

- 在 Linux 核心中，下列弱點已修復：bpf：拒絕 PTR_TO_FLOW_KEYS 上的變數位移 alu 對於 PTR_TO_FLOW_KEYS，check_flow_keys_access() 僅使用修復的 off 進行驗證。
不過，未針對此 ptr 類別禁止變數位移 ptr alu。因此系統不會檢查變數位移。已接受以下 prog：func#0 @0 0：R1=ctx() R10=fp0 0：(bf) r6 = r1 ; R1=ctx() R6_w=ctx() 1：(79) r7 = *(u64 *)(r6 +144) ; R6_w=ctx() R7_w=flow_keys() 2：(b7) r8 = 1024 ; R8_w=1024 3：
(37) r8 /= 1 ; R8_w=scalar() 4：(57) r8 &= 1024 ; R8_w=scalar(smin=smin32=0, smax=umax=smax32=umax32=1024,var_off=(0x0; 0x400)) 5：(0f) r7 += r8 mark_precise: frame0: last_idx 5 first_idx 0 subseq_idx -1 mark_precise: frame0: regs=r8 stack= before 4：(57) r8 &= 1024 mark_precise:
frame0: regs=r8 stack= before 3：(37) r8 /= 1 mark_precise: frame0: regs=r8 stack= before 2：(b7) r8 = 1024 6: R7_w=flow_keys(smin=smin32=0,smax=umax=smax32=umax32=1024,var_off =(0x0; 0x400)) R8_w=scalar(smin=smin32=0,smax=umax=smax32=umax32=1024, var_off=(0x0; 0x400)) 6：(79) r0 = *(u64 *)(r7 +0) ; R0_w=scalar() 7：(95) exit 此 prog 將 flow_keys 載入 r7，並將變數位移 r8 增加到 r7，最終導致超出邊界存取：錯誤：無法處理位址頁面錯誤：ffffc90014c80038 [...] 呼叫追蹤：<TASK> bpf_dispatcher_nop_func include/linux/bpf.h:1231 [inline] __bpf_prog_run include/linux/filter.h:651 [inline] bpf_prog_run include/linux/filter.h:658 [inline] bpf_prog_run_pin_on_cpu include/linux/filter.h:675 [inline] bpf_flow_dissect+0x15f/0x350 net/core/flow_dissector.c:991 bpf_prog_test_run_flow_dissector+0x39d/0x620 net/bpf/test_run.c:1359 bpf_prog_test_run kernel/bpf/syscall.c:4107 [inline] __sys_bpf+0xf8f/0x4560 kernel/bpf/syscall.c:5475
__do_sys_bpf kernel/bpf/syscall.c:5561 [inline] __se_sys_bpf kernel/bpf/syscall.c:5559 [inline]
__x64_sys_bpf+0x73/0xb0 kernel/bpf/syscall.c:5559 do_syscall_x64 arch/x86/entry/common.c:52 [inline] do_syscall_64+0x3f/0x110 arch/x86/entry/common.c:83 entry_SYSCALL_64_after_hwframe+0x63/0x6b 透過在 flow_keys 上拒絕使用變數位移的 ptr alu 來修復此弱點。套用修補程式，拒絕執行「禁止在 flow_keys 上使用 R7 指標算術」的程式。(CVE-2024-26589)

- 在 Linux 核心中，下列弱點已修復：bpf：修復 bpf_tracing_prog_attach 中的重新附加分支。由於缺少 ttach_btf，以下情況會造成當機：1) 載入 rawtp 程式 2) 載入將 rawtp 作為 target_fd 的 fentry 程式 3) 使用 target_fd = 0 為 fentry 程式建立追踪連結 4) 重複 3 最後，我們有：- prog->aux->dst_trampoline == NULL - tgt_prog == NULL (因為我們並未將 target_fd 提供給 link_create) - prog-> aux->attach_btf == NULL (使用 attach_prog_fd=X 載入程式) - 已針對 tgt_prog 載入程式，但我們無法找出是哪一個錯誤：核心 NULL 指標解除參照，位於：0000000000000058 呼叫追蹤：<TASK> ? __die+0x20/0x70 ? page_fault_oops+0x15b/0x430 ? fixup_exception+0x22/0x330 ? exc_page_fault+0x6f/0x170 ? asm_exc_page_fault+0x22/0x30 ? bpf_tracing_prog_attach+0x279/0x560 ? btf_obj_id+0x5/0x10 bpf_tracing_prog_attach+0x439/0x560 __sys_bpf+0x1cf4/0x2de0 __x64_sys_bpf+0x1c/0x30 do_syscall_64+0x41/0xf0 entry_SYSCALL_64_after_hwframe+0x6e/0x76 在此情況下傳回 -EINVAL。
(CVE-2024-26591)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 kernel 套件。

另請參閱

https://ubuntu.com/security/notices/USN-6743-1

Plugin 詳細資訊

嚴重性: High

ID: 193592

檔案名稱: ubuntu_USN-6743-1.nasl

版本: 1.0

類型: local

代理程式: unix

系列: Ubuntu Local Security Checks

已發布: 2024/4/19

已更新: 2024/4/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-26589

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1015-nvidia, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1015-raspi, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1021-oracle-64k, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-28-lowlatency-64k, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1018-aws, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1019-azure-fde, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1021-oracle, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-28-generic-64k, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1018-gcp, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1020-oem, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1014-laptop, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1019-azure, cpe:/o:canonical:ubuntu_linux:23.10, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-28-generic, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1015-nvidia-64k, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-28-lowlatency, p-cpe:/a:canonical:ubuntu_linux:linux-image-6.5.0-1012-starfive

必要的 KB 項目: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/4/19

弱點發布日期: 2024/2/15

參考資訊

CVE: CVE-2023-52600, CVE-2023-52603, CVE-2024-26581, CVE-2024-26589, CVE-2024-26591

USN: 6743-1