В ядре Linux устранена следующая уязвимость:
romfs: проверьте возвращаемое значение sb_set_blocksize()
romfs_fill_super() игнорирует возвращаемое значение sb_set_blocksize(), которое
может потерпеть неудачу, если запрошенный размер блока несовместим с блоком
конфигурация устройства. Это может быть вызвано установкой размера блока шлейфового устройства больше, чем
PAGE_SIZE с помощью ioctl(LOOP_SET_BLOCK_SIZE, 32768), затем смонтируйте romfs
файловая система на этом устройстве. Когда sb_set_blocksize(sb, ROMBSIZE) вызывается с ROMBSIZE=4096, но
устройство имеет логический_блок_размер = 32768, bdev_validate_blocksize() завершается с ошибкой
поскольку запрошенный размер меньше логического блока устройства
размер. sb_set_blocksize() возвращает 0 (ошибка), но romfs игнорирует это и
продолжает монтаж.
Размер блока суперблока остается равным размеру логического блока устройства.
(32768). Позже, когда sb_bread() попытается выполнить ввод-вывод с этим слишком большим блоком
размера, это вызывает ошибку ядра в folio_set_bh():
ОШИБКА ядра в fs/buffer.c:1582!
BUG_ON (размер > PAGE_SIZE);
Исправьте это, проверив возвращаемое значение sb_set_blocksize() и не выполнив
монтируйте с -EINVAL, если он возвращает 0.
Показать оригинальное описание (EN)
In the Linux kernel, the following vulnerability has been resolved: romfs: check sb_set_blocksize() return value romfs_fill_super() ignores the return value of sb_set_blocksize(), which can fail if the requested block size is incompatible with the block device's configuration. This can be triggered by setting a loop device's block size larger than PAGE_SIZE using ioctl(LOOP_SET_BLOCK_SIZE, 32768), then mounting a romfs filesystem on that device. When sb_set_blocksize(sb, ROMBSIZE) is called with ROMBSIZE=4096 but the device has logical_block_size=32768, bdev_validate_blocksize() fails because the requested size is smaller than the device's logical block size. sb_set_blocksize() returns 0 (failure), but romfs ignores this and continues mounting. The superblock's block size remains at the device's logical block size (32768). Later, when sb_bread() attempts I/O with this oversized block size, it triggers a kernel BUG in folio_set_bh(): kernel BUG at fs/buffer.c:1582! BUG_ON(size > PAGE_SIZE); Fix by checking the return value of sb_set_blocksize() and failing the mount with -EINVAL if it returns 0.