В ядре Linux устранена следующая уязвимость: iommu/io-pgtable-arm: исправлена ошибка подписи size_t в пути неотображения __arm_lpae_unmap() возвращает size_t, но возвращает -ENOENT (отрицательный результат). код ошибки) при обнаружении несопоставленного PTE. Поскольку size_t не имеет знака, -ENOENT (обычно -2) становится огромным положительным значением (0xFFFFFFFFFFFFFFFE в 64-битных системах). Это поврежденное значение распространяется по цепочке вызовов: __arm_lpae_unmap() возвращает -ENOENT как size_t ->arm_lpae_unmap_pages() возвращает его. -> __iommu_unmap() добавляет его по адресу iova -> iommu_pgsize() вызывает BUG_ON из-за поврежденного iova Это может привести к переполнению адреса IOVA в цикле __iommu_unmap() и вызвать BUG_ON в iommu_pgsize() из-за неправильного выравнивания адреса. Исправьте это, вернув 0 вместо -ENOENT. WARN_ON уже сигнализирует состояние ошибки и возврат 0 (что означает «ничего несопоставленного») является правильной семантикой для возвращаемого типа size_t. Это соответствует поведение других реализаций io-pgtable (io-pgtable-arm-v7s, io-pgtable-dart), которые возвращают 0 в случае ошибки.
Показать оригинальное описание (английский)
In the Linux kernel, the following vulnerability has been resolved: iommu/io-pgtable-arm: fix size_t signedness bug in unmap path __arm_lpae_unmap() returns size_t but was returning -ENOENT (negative error code) when encountering an unmapped PTE. Since size_t is unsigned, -ENOENT (typically -2) becomes a huge positive value (0xFFFFFFFFFFFFFFFE on 64-bit systems). This corrupted value propagates through the call chain: __arm_lpae_unmap() returns -ENOENT as size_t -> arm_lpae_unmap_pages() returns it -> __iommu_unmap() adds it to iova address -> iommu_pgsize() triggers BUG_ON due to corrupted iova This can cause IOVA address overflow in __iommu_unmap() loop and trigger BUG_ON in iommu_pgsize() from invalid address alignment. Fix by returning 0 instead of -ENOENT. The WARN_ON already signals the error condition, and returning 0 (meaning "nothing unmapped") is the correct semantic for size_t return type. This matches the behavior of other io-pgtable implementations (io-pgtable-arm-v7s, io-pgtable-dart) which return 0 on error conditions.