CVE-2023-53989

Published: Dic 24, 2025 Last Modified: Dic 29, 2025

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

arm64: mm: fix VA-range sanity check

Both create_mapping_noalloc() and update_mapping_prot() sanity-check
their 'virt' parameter, but the check itself doesn't make much sense.
The condition used today appears to be a historical accident.

The sanity-check condition:

if ((virt >= PAGE_END) && (virt < VMALLOC_START)) {
[ ... warning here ... ]
return;
}

... can only be true for the KASAN shadow region or the module region,
and there's no reason to exclude these specifically for creating and
updateing mappings.

When arm64 support was first upstreamed in commit:

c1cc1552616d0f35 ('arm64: MMU initialisation')

... the condition was:

if (virt < VMALLOC_START) {
[ ... warning here ... ]
return;
}

At the time, VMALLOC_START was the lowest kernel address, and this was
checking whether 'virt' would be translated via TTBR1.

Subsequently in commit:

14c127c957c1c607 ('arm64: mm: Flip kernel VA space')

... the condition was changed to:

if ((virt >= VA_START) && (virt < VMALLOC_START)) {
[ ... warning here ... ]
return;
}

This appear to have been a thinko. The commit moved the linear map to
the bottom of the kernel address space, with VMALLOC_START being at the
halfway point. The old condition would warn for changes to the linear
map below this, and at the time VA_START was the end of the linear map.

Subsequently we cleaned up the naming of VA_START in commit:

77ad4ce69321abbe ('arm64: memory: rename VA_START to PAGE_END')

... keeping the erroneous condition as:

if ((virt >= PAGE_END) && (virt < VMALLOC_START)) {
[ ... warning here ... ]
return;
}

Correct the condition to check against the start of the TTBR1 address
space, which is currently PAGE_OFFSET. This simplifies the logic, and
more clearly matches the 'outside kernel range' message in the warning.

AI Generated Translation

Nel kernel Linux è stata risolta la seguente vulnerabilità:

arm64: mm: fix VA-range sanity check

Sia create_mapping_noalloc() che update_mapping_prot() effettuano un controllo di sanità sul parametro 'virt', ma la verifica stessa non ha molto senso. La condizione utilizzata attualmente sembra essere un incidente storico.

La condizione di sanità:

if ((virt >= PAGE_END) && (virt < VMALLOC_START)) {
[ ... warning here ... ]
return;
}

può essere vera solo per la regione shadow di KASAN o per la regione dei moduli, e non c'è motivo di escludere specificamente queste aree per la creazione e l'aggiornamento delle mappature.

Quando il supporto arm64 è stato inizialmente integrato nel commit:

c1cc1552616d0f35 ("arm64: MMU initialisation")

la condizione era:

if (virt < VMALLOC_START) {
[ ... warning here ... ]
return;
}

In quel periodo, VMALLOC_START rappresentava l'indirizzo più basso del kernel, e questa verifica controllava se 'virt' sarebbe stato tradotto tramite TTBR1.

Successivamente, nel commit:

14c127c957c1c607 ("arm64: mm: Flip kernel VA space")

la condizione è stata modificata in:

if ((virt >= VA_START) && (virt < VMALLOC_START)) {
[ ... warning here ... ]
return;
}

Questo sembra essere stato un errore di pensiero. Il commit ha spostato la mappatura lineare alla fine dello spazio di indirizzi del kernel, con VMALLOC_START posizionato a metà strada. La vecchia condizione avrebbe generato avvisi per modifiche alla mappatura lineare sotto questa soglia, e all'epoca VA_START rappresentava la fine della mappatura lineare.

Successivamente, abbiamo semplificato la denominazione di VA_START nel commit:

77ad4ce69321abbe ("arm64: memory: rename VA_START to PAGE_END")

mantenendo però la condizione errata come:

if ((virt >= PAGE_END) && (virt < VMALLOC_START)) {
[ ... warning here ... ]
return;
}

Correggere questa condizione per verificare rispetto all'inizio dello spazio di indirizzi TTBR1, attualmente rappresentato da PAGE_OFFSET, semplifica la logica e rende più chiaro il messaggio "fuori dall'intervallo kernel" presente nell'avviso.