CVE-2025-68331

Published: Dic 22, 2025 Last Modified: Dic 23, 2025

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

In the Linux kernel, the following vulnerability has been resolved:

usb: uas: fix urb unmapping issue when the uas device is remove during ongoing data transfer

When a UAS device is unplugged during data transfer, there is
a probability of a system panic occurring. The root cause is
an access to an invalid memory address during URB callback handling.
Specifically, this happens when the dma_direct_unmap_sg() function
is called within the usb_hcd_unmap_urb_for_dma() interface, but the
sg->dma_address field is 0 and the sg data structure has already been
freed.

The SCSI driver sends transfer commands by invoking uas_queuecommand_lck()
in uas.c, using the uas_submit_urbs() function to submit requests to USB.
Within the uas_submit_urbs() implementation, three URBs (sense_urb,
data_urb, and cmd_urb) are sequentially submitted. Device removal may
occur at any point during uas_submit_urbs execution, which may result
in URB submission failure. However, some URBs might have been successfully
submitted before the failure, and uas_submit_urbs will return the -ENODEV
error code in this case. The current error handling directly calls
scsi_done(). In the SCSI driver, this eventually triggers scsi_complete()
to invoke scsi_end_request() for releasing the sgtable. The successfully
submitted URBs, when being unlinked to giveback, call
usb_hcd_unmap_urb_for_dma() in hcd.c, leading to exceptions during sg
unmapping operations since the sg data structure has already been freed.

This patch modifies the error condition check in the uas_submit_urbs()
function. When a UAS device is removed but one or more URBs have already
been successfully submitted to USB, it avoids immediately invoking
scsi_done() and save the cmnd to devinfo->cmnd array. If the successfully
submitted URBs is completed before devinfo->resetting being set, then
the scsi_done() function will be called within uas_try_complete() after
all pending URB operations are finalized. Otherwise, the scsi_done()
function will be called within uas_zap_pending(), which is executed after
usb_kill_anchored_urbs().

The error handling only takes effect when uas_queuecommand_lck() calls
uas_submit_urbs() and returns the error value -ENODEV . In this case,
the device is disconnected, and the flow proceeds to uas_disconnect(),
where uas_zap_pending() is invoked to call uas_try_complete().

AI Generated Translation

Nel kernel Linux, è stata risolta la seguente vulnerabilità:

usb: uas: correzione del problema di unmapping dell'urb quando il dispositivo uas viene rimosso durante un trasferimento dati

Quando un dispositivo UAS viene scollegato durante un trasferimento dati, si verifica
una probabilità di causare un panic di sistema. La causa principale è
l'accesso a un indirizzo di memoria non valido durante la gestione del callback URB.
In particolare, ciò accade quando la funzione dma_direct_unmap_sg()
viene chiamata all’interno dell’interfaccia usb_hcd_unmap_urb_for_dma(), ma
il campo sg->dma_address è 0 e la struttura dati sg è già stata liberata.

Il driver SCSI invia i comandi di trasferimento chiamando uas_queuecommand_lck()
in uas.c, utilizzando la funzione uas_submit_urbs() per inviare le richieste a USB.
All’interno dell’implementazione di uas_submit_urbs(), vengono inviati sequenzialmente tre URB (sense_urb,
data_urb e cmd_urb). La rimozione del dispositivo può verificarsi in qualsiasi momento durante l’esecuzione di uas_submit_urbs(),
il che può portare a un fallimento nella submission degli URB. Tuttavia, alcuni URB potrebbero essere stati inviati con successo prima del fallimento,
e in tal caso uas_submit_urbs() restituirà il codice di errore -ENODEV. La gestione dell’errore attuale chiama direttamente scsi_done().
Nel driver SCSI, questo alla fine innesca scsi_complete() per invocare scsi_end_request() e liberare lo sgtable.
Gli URB inviati con successo, quando vengono scollegati per il rilascio, chiamano
usb_hcd_unmap_urb_for_dma() in hcd.c, portando a eccezioni durante le operazioni di unmapping di sg
poiché la struttura dati sg è già stata liberata.

Questa patch modifica il controllo della condizione di errore nella funzione uas_submit_urbs().
Quando un dispositivo UAS viene rimosso ma uno o più URB sono già stati inviati con successo a USB,
si evita di chiamare immediatamente scsi_done() e si salva il comando nell’array devinfo->cmnd.
Se l’URB inviato con successo viene completato prima che venga impostato devinfo->resetting,
allora la funzione scsi_done() verrà chiamata all’interno di uas_try_complete() dopo che tutte le operazioni URB pendenti sono state concluse.
Altrimenti, la funzione scsi_done() verrà chiamata all’interno di uas_zap_pending(), che viene eseguita dopo usb_kill_anchored_urbs().

La gestione dell’errore ha effetto solo quando uas_queuecommand_lck() chiama uas_submit_urbs()
e questa restituisce il valore di errore -ENODEV. In questo caso,
il dispositivo viene disconnesso e il flusso prosegue verso uas_disconnect(),
dove viene invocata uas_zap_pending() per chiamare uas_try_complete().