В ядре Linux устранена следующая уязвимость:
RDMA/umad: отклонить отрицательный data_len в ib_umad_write.
ib_umad_write вычисляет data_len на основе количества, управляемого пользователем, и
Размеры заголовка MAD. С несовпадающим размером заголовка MAD пользователя и RMPP.
длина заголовка, data_len может стать отрицательным и достичь ib_create_send_mad(). Это может привести к тому, что расчет заполнения превысит размер сегмента и вызовет срабатывание
memset за пределами границ в alloc_send_rmpp_list().
Добавьте явную проверку для отклонения отрицательных значений data_len перед созданием
буфер отправки. КАСАН знак:
[211.363464] ОШИБКА: KASAN: плита выходит за пределы границ в ib_create_send_mad+0xa01/0x11b0
[ 211.364077] Запись размера 220 по адресу ffff88800c3fa1f8 с помощью задачиspray_thread/102.
[ 211.365867] ib_create_send_mad+0xa01/0x11b0
[ 211.365887] ib_umad_write+0x853/0x1c80
Показать оригинальное описание (EN)
In the Linux kernel, the following vulnerability has been resolved: RDMA/umad: Reject negative data_len in ib_umad_write ib_umad_write computes data_len from user-controlled count and the MAD header sizes. With a mismatched user MAD header size and RMPP header length, data_len can become negative and reach ib_create_send_mad(). This can make the padding calculation exceed the segment size and trigger an out-of-bounds memset in alloc_send_rmpp_list(). Add an explicit check to reject negative data_len before creating the send buffer. KASAN splat: [ 211.363464] BUG: KASAN: slab-out-of-bounds in ib_create_send_mad+0xa01/0x11b0 [ 211.364077] Write of size 220 at addr ffff88800c3fa1f8 by task spray_thread/102 [ 211.365867] ib_create_send_mad+0xa01/0x11b0 [ 211.365887] ib_umad_write+0x853/0x1c80
Характеристики атаки
Последствия
Строка CVSS v3.1