CVE-2023-54321

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

driver core: correggere potenziale null-ptr-deref in device_add()

Ho rilevato il seguente report di null-ptr-deref durante un test di fault injection:

BUG: kernel NULL pointer dereference, address: 0000000000000058
CPU: 2 PID: 278 Comm: 37-i2c-ds2482 Tainted: G B W N 6.1.0-rc3+
RIP: 0010:klist_put+0x2d/0xd0
Call Trace:
<TASK>
klist_remove+0xf1/0x1c0
device_release_driver_internal+0x196/0x210
bus_remove_device+0x1bd/0x240
device_add+0xd3d/0x1100
w1_add_master_device+0x476/0x490 [wire]
ds2482_probe+0x303/0x3e0 [ds2482]

Ecco come si è verificato:

w1_alloc_dev()
// Il dev->driver è impostato a w1_master_driver.
memcpy(&dev->dev, device, sizeof(struct device));
device_add()
bus_add_device()
dpm_sysfs_add() // Fallisce, chiama bus_remove_device.

// percorso di errore
bus_remove_device()
// Il dev->driver non è null, ma il driver non è bindato.
__device_release_driver()
klist_remove(&dev->p->knode_driver) <-- provoca null-ptr-deref.

// percorso normale
bus_probe_device() // Non è ancora chiamato.
device_bind_driver()

Se dev->driver è impostato, nel percorso di errore dopo aver chiamato device_add()
in device_add(), viene chiamato bus_remove_device(), quindi il device verrà
staccato dal driver. Ma ancora non è stato chiamato device_bind_driver(), quindi
si verifica un null-ptr-deref durante l'accesso a 'knode_driver'. Per risolvere,
è necessario impostare dev->driver a null nel percorso di errore prima di chiamare bus_remove_device().