В ядре Linux устранена следующая уязвимость: rxrpc: исправление негабаритного РЕАПЛОНИРОВЩИКА длина проверки длины rxgk_verify_response() д…

В ядре Linux устранена следующая уязвимость: rxrpc: исправление негабаритного РЕАПЛОНИРОВЩИКА длина проверки длины rxgk_verify_response() декодирует auth_len из пакета и предполагается чтобы убедиться, что он вписывается в оставшиеся байты. Существующая проверка является инвертированные, поэтому негабаритные Аутентификаторы РЕАГИРОВАНТ принимаются и передаются к rxgk_decrypt_skb(), который может позже достичь skb_to_sgvec() с невозможная длина и удар BUG_ON(len). Расшифровано из оригинальных журналов воспроизведения последней сети с скрипты/decode_stacktrace.sh: RIP: __skb_to_sgvec() [net/core/skbuff.c:5285 (дикриминатор 1)] Трейс по вызову: skb_to_sgvec() [net/core/skbuff.c:5305] rxgk_decrypt_skb() [net/rxrpc/rxgk_common.h:81] rxgk_verify_response() [net/rxrpc/rxgk.c:1268] rxrpc_process_process_connection() [net/rxrpc/conn_event.c:266 нетт/rxrpc/conn_event.c:364 нетто/rxrpc/conn_event.c:364 нетт/ркрпк/конн_event.c:386] процесс_one_work() [ядро/workqueue.c:3281] worker_thread() [ядро/workqueue.c:3353 ядро/workqueue.c:3440] kthread() [ядро/kthread.c:436] ret_from_fork() [arch/x86/kernel/process.c:164] Отклонить длину аутентификатора, превышающую оставшуюся полезную нагрузку пакета.