В ядре Linux устранена следующая уязвимость:
bpf: исправлено постоянное закрытие хранилищ PROBE_MEM32. БПФ_СТ | Непосредственные сохранения BPF_PROBE_MEM32 не обрабатываются
bpf_jit_blind_insn(), позволяющий 32-битным немедленным действиям, управляемым пользователем,
выжить незамеченным в JIT-скомпилированном собственном коде, когда bpf_jit_harden >= 1. Основная причина в том, что Convert_ctx_accesses() перезаписывает BPF_ST|BPF_MEM.
в BPF_ST|BPF_PROBE_MEM32 для хранения указателей арены во время проверки,
перед запуском bpf_jit_blind_constants() во время JIT-компиляции.
Переключатель ослепления соответствует только BPF_ST|BPF_MEM (режим 0x60), а не
BPF_ST|BPF_PROBE_MEM32 (режим 0xa0). Инструкция проваливается
неослепленный. Добавьте случаи BPF_ST|BPF_PROBE_MEM32 в bpf_jit_blind_insn() рядом с
существующие случаи BPF_ST|BPF_MEM.
Слепящее преобразование идентично:
загрузить слепой файл в BPF_REG_AX с помощью mov+xor, затем преобразовать
немедленное сохранение в хранилище регистров (BPF_STX). Переписанная инструкция STX должна сохранить режим BPF_PROBE_MEM32, чтобы
JIT архитектуры выдает правильную адресацию арены (на основе R12).
х86-64). Здесь невозможно использовать макрос BPF_STX_MEM(), поскольку он жестко запрограммирован.
режим BPF_MEM; Вместо этого создайте инструкцию напрямую.
Показать оригинальное описание (EN)
In the Linux kernel, the following vulnerability has been resolved: bpf: Fix constant blinding for PROBE_MEM32 stores BPF_ST | BPF_PROBE_MEM32 immediate stores are not handled by bpf_jit_blind_insn(), allowing user-controlled 32-bit immediates to survive unblinded into JIT-compiled native code when bpf_jit_harden >= 1. The root cause is that convert_ctx_accesses() rewrites BPF_ST|BPF_MEM to BPF_ST|BPF_PROBE_MEM32 for arena pointer stores during verification, before bpf_jit_blind_constants() runs during JIT compilation. The blinding switch only matches BPF_ST|BPF_MEM (mode 0x60), not BPF_ST|BPF_PROBE_MEM32 (mode 0xa0). The instruction falls through unblinded. Add BPF_ST|BPF_PROBE_MEM32 cases to bpf_jit_blind_insn() alongside the existing BPF_ST|BPF_MEM cases. The blinding transformation is identical: load the blinded immediate into BPF_REG_AX via mov+xor, then convert the immediate store to a register store (BPF_STX). The rewritten STX instruction must preserve the BPF_PROBE_MEM32 mode so the architecture JIT emits the correct arena addressing (R12-based on x86-64). Cannot use the BPF_STX_MEM() macro here because it hardcodes BPF_MEM mode; construct the instruction directly instead.