В ядре Linux устранена следующая уязвимость:
clsact: исправлена асимметрия использования после освобождения при инициализации/уничтожении отката. Исправлена ошибка use-after-free в qdisc clsact при асимметрии отката инициализации/уничтожения. Последнее достигается путем полной инициализации экземпляра clsact и
затем на втором этапе произошел сбой замены нового qdisc clsact
экземпляр. clsact_init() сначала инициализирует вход, а затем заботится о
выходная часть.
Это может привести к сбою на полпути, например, через tcf_block_get_ext(). После
в случае неудачи ядро вызовет обратный вызов clsact_destroy(). Коммит 1cb6f0bae504 («bpf: исправить слишком ранний выпуск tcx_entry») подробно описывает
как происходит переход.
Если tcf_block_get_ext на q->ingress_block
заканчивается сбоем, мы взяли счетчик ссылок tcx_miniq_inc на входе
стороне, но еще не на выходной стороне. clsact_destroy() проверяет,
Значение {ingress,egress}_entry было отличным от NULL. Однако даже на полпути провал на
замены, оба на самом деле не NULL с действительным egress_entry из
предыдущий экземпляр clsact. Что нам действительно нужно проверить, так это то, является ли входной сигнал, специфичный для экземпляра qdisc,
или выходная сторона ранее была инициализирована.
Это добавляет небольшой помощник для проверки
инициализация miniq, называемая mini_qdisc_pair_inited, и использует ее при
clsact_destroy(), чтобы исправить сценарий использования после освобождения. Преобразуйте
ingress_destroy(), поэтому оба согласуются друг с другом.
Показать оригинальное описание (EN)
In the Linux kernel, the following vulnerability has been resolved: clsact: Fix use-after-free in init/destroy rollback asymmetry Fix a use-after-free in the clsact qdisc upon init/destroy rollback asymmetry. The latter is achieved by first fully initializing a clsact instance, and then in a second step having a replacement failure for the new clsact qdisc instance. clsact_init() initializes ingress first and then takes care of the egress part. This can fail midway, for example, via tcf_block_get_ext(). Upon failure, the kernel will trigger the clsact_destroy() callback. Commit 1cb6f0bae504 ("bpf: Fix too early release of tcx_entry") details the way how the transition is happening. If tcf_block_get_ext on the q->ingress_block ends up failing, we took the tcx_miniq_inc reference count on the ingress side, but not yet on the egress side. clsact_destroy() tests whether the {ingress,egress}_entry was non-NULL. However, even in midway failure on the replacement, both are in fact non-NULL with a valid egress_entry from the previous clsact instance. What we really need to test for is whether the qdisc instance-specific ingress or egress side previously got initialized. This adds a small helper for checking the miniq initialization called mini_qdisc_pair_inited, and utilizes that upon clsact_destroy() in order to fix the use-after-free scenario. Convert the ingress_destroy() side as well so both are consistent to each other.