CVE-2024-26921

inet: inet_defrag: prevent sk release while still in use

Severity Score

5.5

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Attend

*SSVC

Descriptions

In the Linux kernel, the following vulnerability has been resolved:

inet: inet_defrag: prevent sk release while still in use

ip_local_out() and other functions can pass skb->sk as function argument.

If the skb is a fragment and reassembly happens before such function call
returns, the sk must not be released.

This affects skb fragments reassembled via netfilter or similar
modules, e.g. openvswitch or ct_act.c, when run as part of tx pipeline.

Eric Dumazet made an initial analysis of this bug. Quoting Eric:
Calling ip_defrag() in output path is also implying skb_orphan(),
which is buggy because output path relies on sk not disappearing.

A relevant old patch about the issue was :
8282f27449bf ("inet: frag: Always orphan skbs inside ip_defrag()")

[..]

net/ipv4/ip_output.c depends on skb->sk being set, and probably to an
inet socket, not an arbitrary one.

If we orphan the packet in ipvlan, then downstream things like FQ
packet scheduler will not work properly.

We need to change ip_defrag() to only use skb_orphan() when really
needed, ie whenever frag_list is going to be used.

Eric suggested to stash sk in fragment queue and made an initial patch.
However there is a problem with this:

If skb is refragmented again right after, ip_do_fragment() will copy
head->sk to the new fragments, and sets up destructor to sock_wfree.
IOW, we have no choice but to fix up sk_wmem accouting to reflect the
fully reassembled skb, else wmem will underflow.

This change moves the orphan down into the core, to last possible moment.
As ip_defrag_offset is aliased with sk_buff->sk member, we must move the
offset into the FRAG_CB, else skb->sk gets clobbered.

This allows to delay the orphaning long enough to learn if the skb has
to be queued or if the skb is completing the reasm queue.

In the former case, things work as before, skb is orphaned. This is
safe because skb gets queued/stolen and won't continue past reasm engine.

In the latter case, we will steal the skb->sk reference, reattach it to
the head skb, and fix up wmem accouting when inet_frag inflates truesize.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: inet: inet_defrag: evita la liberación de sk mientras aún está en uso ip_local_out() y otras funciones pueden pasar skb->sk como argumento de función. Si el skb es un fragmento y el reensamblaje ocurre antes de que regrese dicha llamada a la función, el sk no debe liberarse. Esto afecta a los fragmentos de skb reensamblados mediante netfilter o módulos similares, por ejemplo, openvswitch o ct_act.c, cuando se ejecutan como parte de la canalización tx. Eric Dumazet hizo un análisis inicial de este error. Citando a Eric: Llamar a ip_defrag() en la ruta de salida también implica skb_orphan(), lo cual tiene errores porque la ruta de salida depende de que sk no desaparezca. Un parche antiguo relevante sobre el problema era: 8282f27449bf ("inet: frag: Siempre skbs huérfanos dentro de ip_defrag()") [..] net/ipv4/ip_output.c depende de que skb->sk esté configurado, y probablemente en un inet socket, no uno arbitrario. Si dejamos el paquete huérfano en ipvlan, las cosas posteriores como el programador de paquetes FQ no funcionarán correctamente. Necesitamos cambiar ip_defrag() para usar skb_orphan() solo cuando sea realmente necesario, es decir, siempre que se vaya a usar frag_list. Eric sugirió guardar sk en la cola de fragmentos e hizo un parche inicial. Sin embargo, hay un problema con esto: si skb se vuelve a fragmentar inmediatamente después, ip_do_fragment() copiará head->sk a los nuevos fragmentos y configurará el destructor en sock_wfree. OIA, no tenemos más remedio que arreglar la contabilidad de sk_wmem para reflejar el skb completamente reensamblado; de lo contrario, wmem se desbordará. Este cambio mueve al huérfano hacia el núcleo, hasta el último momento posible. Como ip_defrag_offset tiene un alias con el miembro sk_buff->sk, debemos mover el desplazamiento a FRAG_CB; de lo contrario, skb->sk será golpeado. Esto permite retrasar el huérfano el tiempo suficiente para saber si el skb debe estar en cola o si el skb está completando la cola de reasm. En el primer caso, las cosas funcionan como antes, skb queda huérfano. Esto es seguro porque skb se pone en cola/se roba y no continúa más allá del motor de reasm. En el último caso, robaremos la referencia skb->sk, la volveremos a adjuntar al skb principal y arreglaremos la contabilidad de wmem cuando inet_frag infle el tamaño verdadero.

*Credits: N/A

CVSS Scores

Red Hatv3.1 5.5

Attack Vector

Local

Attack Complexity

Low

Privileges Required

Low

User Interaction

None

Scope

Unchanged

Confidentiality

None

Integrity

None

Availability

High

* Common Vulnerability Scoring System

SSVC

Decision:Attend

Exploitation

None

Automatable

Yes

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-02-19 CVE Reserved
2024-04-18 CVE Published
2024-04-19 EPSS Updated
2024-08-02 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-124: Buffer Underwrite ('Buffer Underflow')

CAPEC

References (7)

URL	Tag	Source
https://git.kernel.org/stable/c/7026b1ddb6b8d4e6ee33dc2bd06c0ca8746fa7ab	Vuln. Introduced

URL	Date	SRC

URL	Date	SRC
https://git.kernel.org/stable/c/7d0567842b78390dd9b60f00f1d8f838d540e325	2024-04-10
https://git.kernel.org/stable/c/f4877225313d474659ee53150ccc3d553a978727	2024-04-10
https://git.kernel.org/stable/c/e09cbe017311508c21e0739e97198a8388b98981	2024-04-10
https://git.kernel.org/stable/c/18685451fc4e546fc0e718580d32df3c0e5c8272	2024-03-28

URL	Date	SRC
https://access.redhat.com/security/cve/CVE-2024-26921	2024-08-08
https://bugzilla.redhat.com/show_bug.cgi?id=2275928	2024-08-08

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 4.1 < 6.1.85 Search vendor "Linux" for product "Linux Kernel" and version " >= 4.1 < 6.1.85"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 4.1 < 6.6.26 Search vendor "Linux" for product "Linux Kernel" and version " >= 4.1 < 6.6.26"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 4.1 < 6.8.5 Search vendor "Linux" for product "Linux Kernel" and version " >= 4.1 < 6.8.5"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 4.1 < 6.9 Search vendor "Linux" for product "Linux Kernel" and version " >= 4.1 < 6.9"		en		Affected