CVE-2024-41009

bpf: Fix overrunning reservations in ringbuf

Severity Score

5.5

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

Track

*SSVC

Descriptions

In the Linux kernel, the following vulnerability has been resolved:

bpf: Fix overrunning reservations in ringbuf

The BPF ring buffer internally is implemented as a power-of-2 sized circular
buffer, with two logical and ever-increasing counters: consumer_pos is the
consumer counter to show which logical position the consumer consumed the
data, and producer_pos which is the producer counter denoting the amount of
data reserved by all producers.

Each time a record is reserved, the producer that "owns" the record will
successfully advance producer counter. In user space each time a record is
read, the consumer of the data advanced the consumer counter once it finished
processing. Both counters are stored in separate pages so that from user
space, the producer counter is read-only and the consumer counter is read-write.

One aspect that simplifies and thus speeds up the implementation of both
producers and consumers is how the data area is mapped twice contiguously
back-to-back in the virtual memory, allowing to not take any special measures
for samples that have to wrap around at the end of the circular buffer data
area, because the next page after the last data page would be first data page
again, and thus the sample will still appear completely contiguous in virtual
memory.

Each record has a struct bpf_ringbuf_hdr { u32 len; u32 pg_off; } header for
book-keeping the length and offset, and is inaccessible to the BPF program.
Helpers like bpf_ringbuf_reserve() return `(void *)hdr + BPF_RINGBUF_HDR_SZ`
for the BPF program to use. Bing-Jhong and Muhammad reported that it is however
possible to make a second allocated memory chunk overlapping with the first
chunk and as a result, the BPF program is now able to edit first chunk's
header.

For example, consider the creation of a BPF_MAP_TYPE_RINGBUF map with size
of 0x4000. Next, the consumer_pos is modified to 0x3000 /before/ a call to
bpf_ringbuf_reserve() is made. This will allocate a chunk A, which is in
[0x0,0x3008], and the BPF program is able to edit [0x8,0x3008]. Now, lets
allocate a chunk B with size 0x3000. This will succeed because consumer_pos
was edited ahead of time to pass the `new_prod_pos - cons_pos > rb->mask`
check. Chunk B will be in range [0x3008,0x6010], and the BPF program is able
to edit [0x3010,0x6010]. Due to the ring buffer memory layout mentioned
earlier, the ranges [0x0,0x4000] and [0x4000,0x8000] point to the same data
pages. This means that chunk B at [0x4000,0x4008] is chunk A's header.
bpf_ringbuf_submit() / bpf_ringbuf_discard() use the header's pg_off to then
locate the bpf_ringbuf itself via bpf_ringbuf_restore_from_rec(). Once chunk
B modified chunk A's header, then bpf_ringbuf_commit() refers to the wrong
page and could cause a crash.

Fix it by calculating the oldest pending_pos and check whether the range
from the oldest outstanding record to the newest would span beyond the ring
buffer size. If that is the case, then reject the request. We've tested with
the ring buffer benchmark in BPF selftests (./benchs/run_bench_ringbufs.sh)
before/after the fix and while it seems a bit slower on some benchmarks, it
is still not significantly enough to matter.

En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: bpf: corrige el exceso de reservas en ringbuf. El búfer de anillo BPF se implementa internamente como un búfer circular de tamaño potencia de 2, con dos contadores lógicos y en constante aumento: consumer_pos es el consumidor contador para mostrar en qué posición lógica el consumidor consumió los datos, y productor_pos, que es el contador del productor que indica la cantidad de datos reservados por todos los productores. Cada vez que se reserva un registro, el productor "dueño" del registro avanzará exitosamente el contador de productores. En el espacio de usuario, cada vez que se lee un registro, el consumidor de los datos avanza el contador del consumidor una vez que finaliza el procesamiento. Ambos contadores se almacenan en páginas separadas de modo que, desde el espacio del usuario, el contador del productor sea de solo lectura y el contador del consumidor sea de lectura y escritura. Un aspecto que simplifica y, por lo tanto, acelera la implementación tanto de productores como de consumidores es cómo el área de datos se mapea dos veces de forma contigua y consecutiva en la memoria virtual, lo que permite no tomar medidas especiales para las muestras que tienen que envolverse en el mismo lugar. al final del área de datos del búfer circular, porque la página siguiente después de la última página de datos volvería a ser la primera página de datos y, por lo tanto, la muestra seguirá apareciendo completamente contigua en la memoria virtual. Cada registro tiene una estructura bpf_ringbuf_hdr { u32 len; u32 página_apagada; } encabezado para la contabilidad de la longitud y el desplazamiento, y es inaccesible para el programa BPF. Ayudantes como bpf_ringbuf_reserve() devuelven `(void *)hdr + BPF_RINGBUF_HDR_SZ` para que lo use el programa BPF. Bing-Jhong y Muhammad informaron que, sin embargo, es posible hacer que un segundo fragmento de memoria asignado se superponga con el primer fragmento y, como resultado, el programa BPF ahora puede editar el encabezado del primer fragmento. Por ejemplo, considere la creación de un mapa BPF_MAP_TYPE_RINGBUF con un tamaño de 0x4000. A continuación, consumer_pos se modifica a 0x3000 /antes/ se realiza una llamada a bpf_ringbuf_reserve(). Esto asignará un fragmento A, que está en [0x0,0x3008], y el programa BPF podrá editar [0x8,0x3008]. Ahora, asignemos un fragmento B con tamaño 0x3000. Esto tendrá éxito porque consumer_pos se editó con anticipación para pasar la verificación `new_prod_pos - cons_pos > rb->mask`. El fragmento B estará en el rango [0x3008,0x6010] y el programa BPF podrá editar [0x3010,0x6010]. Debido al diseño de la memoria del búfer en anillo mencionado anteriormente, los rangos [0x0,0x4000] y [0x4000,0x8000] apuntan a las mismas páginas de datos. Esto significa que el fragmento B en [0x4000,0x4008] es el encabezado del fragmento A. bpf_ringbuf_submit() / bpf_ringbuf_discard() usa el pg_off del encabezado para luego ubicar el bpf_ringbuf a través de bpf_ringbuf_restore_from_rec(). Una vez que el fragmento B modificó el encabezado del fragmento A, bpf_ringbuf_commit() hace referencia a la página incorrecta y podría causar un bloqueo. Solucionelo calculando el pendiente_pos más antiguo y verifique si el rango desde el registro pendiente más antiguo hasta el más nuevo abarcaría más allá del tamaño del búfer circular. Si ese es el caso, rechace la solicitud. Hemos probado con el punto de referencia del búfer de anillo en las autopruebas de BPF (./benchs/run_bench_ringbufs.sh) antes/después de la corrección y, aunque parece un poco más lento en algunos puntos de referencia, todavía no es lo suficientemente significativo como para importar.

*Credits: N/A

Attack Vector

Local

Attack Complexity

Low

Privileges Required

Low

User Interaction

None

Scope

Unchanged

Confidentiality

None

Integrity

None

Availability

High

Attack Vector

Local

Attack Complexity

Low

Privileges Required

High

User Interaction

None

Scope

Unchanged

Confidentiality

None

Integrity

None

Availability

High

* Common Vulnerability Scoring System

SSVC

Decision:Track

Exploitation

None

Automatable

Tech. Impact

Partial

* Organization's Worst-case Scenario

Timeline

2024-07-12 CVE Reserved
2024-07-17 CVE Published
2024-07-20 EPSS Updated
2024-09-11 CVE Updated
---------- Exploited in Wild
---------- KEV Due Date
---------- First Exploit

CWE

CWE-121: Stack-based Buffer Overflow
CWE-770: Allocation of Resources Without Limits or Throttling

CAPEC

References (9)

URL	Tag	Source
https://git.kernel.org/stable/c/457f44363a8894135c85b7a9afd2bd8196db24ab	Vuln. Introduced

URL	Date	SRC

URL	Date	SRC
https://git.kernel.org/stable/c/be35504b959f2749bab280f4671e8df96dcf836f	2024-07-27
https://git.kernel.org/stable/c/0f98f40eb1ed52af8b81f61901b6c0289ff59de4	2024-07-27
https://git.kernel.org/stable/c/d1b9df0435bc61e0b44f578846516df8ef476686	2024-07-05
https://git.kernel.org/stable/c/511804ab701c0503b72eac08217eabfd366ba069	2024-07-05
https://git.kernel.org/stable/c/47416c852f2a04d348ea66ee451cbdcf8119f225	2024-07-05
https://git.kernel.org/stable/c/cfa1a2329a691ffd991fcf7248a57d752e712881	2024-06-21

URL	Date	SRC
https://access.redhat.com/security/cve/CVE-2024-41009	2024-09-18
https://bugzilla.redhat.com/show_bug.cgi?id=2298412	2024-09-18

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 5.8 < 5.10.223 Search vendor "Linux" for product "Linux Kernel" and version " >= 5.8 < 5.10.223"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 5.8 < 5.15.164 Search vendor "Linux" for product "Linux Kernel" and version " >= 5.8 < 5.15.164"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 5.8 < 6.1.97 Search vendor "Linux" for product "Linux Kernel" and version " >= 5.8 < 6.1.97"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 5.8 < 6.6.37 Search vendor "Linux" for product "Linux Kernel" and version " >= 5.8 < 6.6.37"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 5.8 < 6.9.8 Search vendor "Linux" for product "Linux Kernel" and version " >= 5.8 < 6.9.8"		en		Affected
Linux Search vendor "Linux"		Linux Kernel Search vendor "Linux" for product "Linux Kernel"				>= 5.8 < 6.10 Search vendor "Linux" for product "Linux Kernel" and version " >= 5.8 < 6.10"		en		Affected