CVE-2024-55916

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-55916
In the Linux kernel, the following vulnerability has been resolved: Drivers: hv: util: Avoid accessing a ringbuffer not initialized yet If the KVP (or VSS) daemon starts before the VMBus channel's ringbuffer is fully initialized, we can hit the panic below: hv_utils: Registering HyperV Utility Driver hv_vmbus: registering driver hv_utils ... BUG: kernel NULL pointer dereference, address: 0000000000000000 CPU: 44 UID: 0 PID: 2552 Comm: hv_kvp_daemon Tainted: G E 6.11.0-rc3+ #1 RIP: 0010:hv_pkt_iter_first+0x12/0xd0 Call Trace: ... vmbus_recvpacket hv_kvp_onchannelcallback vmbus_on_event tasklet_action_common tasklet_action handle_softirqs irq_exit_rcu sysvec_hyperv_stimer0 </IRQ> <TASK> asm_sysvec_hyperv_stimer0 ... kvp_register_done hvt_op_read vfs_read ksys_read __x64_sys_read This can happen because the KVP/VSS channel callback can be invoked even before the channel is fully opened: 1) as soon as hv_kvp_init() -> hvutil_transport_init() creates /dev/vmbus/hv_kvp, the kvp daemon can open the device file immediately and register itself to the driver by writing a message KVP_OP_REGISTER1 to the file (which is handled by kvp_on_msg() ->kvp_handle_handshake()) and reading the file for the driver's response, which is handled by hvt_op_read(), which calls hvt->on_read(), i.e. kvp_register_done(). 2) the problem with kvp_register_done() is that it can cause the channel callback to be called even before the channel is fully opened, and when the channel callback is starting to run, util_probe()-> vmbus_open() may have not initialized the ringbuffer yet, so the callback can hit the panic of NULL pointer dereference. To reproduce the panic consistently, we can add a "ssleep(10)" for KVP in __vmbus_open(), just before the first hv_ringbuffer_init(), and then we unload and reload the driver hv_utils, and run the daemon manually within the 10 seconds. Fix the panic by reordering the steps in util_probe() so the char dev entry used by the KVP or VSS daemon is not created until after vmbus_open() has completed. This reordering prevents the race condition from happening.

5.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.8 / Impact : 3.6

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://git.kernel.org/stable/c/042253c57be901bfd19f15b68267442b70f510d5 Patch
https://git.kernel.org/stable/c/07a756a49f4b4290b49ea46e089cbe6f79ff8d26 Patch
https://git.kernel.org/stable/c/3dd7a30c6d7f90afcf19e9b072f572ba524d7ec6 Patch
https://git.kernel.org/stable/c/718fe694a334be9d1a89eed22602369ac18d6583 Patch
https://git.kernel.org/stable/c/89fcec5e466b3ac9b376e0d621c71effa1a7983f Patch
https://git.kernel.org/stable/c/d81f4e73aff9b861671df60e5100ad25cc16fbf8 Patch
https://git.kernel.org/stable/c/f091a224a2c82f1e302b1768d73bb6332f687321 Patch
Configurations

Configuration 1 (hide)

OR cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc1:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc2:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc3:*:*:*:*:*:*
History

01 Oct 2025, 20:17

Type Values Removed Values Added
Summary (es) En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Controladores: hv: util: evitar acceder a un búfer de anillo que aún no se ha inicializado Si el demonio KVP (o VSS) se inicia antes de que el búfer de anillo del canal VMBus se haya inicializado por completo, podemos activar el pánico siguiente: hv_utils: registrar el controlador de la utilidad HyperV hv_vmbus: registrar el controlador hv_utils ... ERROR: desreferencia de puntero NULL del kernel, dirección: 000000000000000 CPU: 44 UID: 0 PID: 2552 Comm: hv_kvp_daemon Tainted: GE 6.11.0-rc3+ #1 RIP: 0010:hv_pkt_iter_first+0x12/0xd0 Seguimiento de llamadas: ... vmbus_recvpacket hv_kvp_onchannelcallback vmbus_on_event tasklet_action_common asm_sysvec_hyperv_stimer0 ... kvp_register_done hvt_op_read vfs_read ksys_read __x64_sys_read Esto puede suceder porque la devolución de llamada del canal KVP/VSS se puede invocar incluso antes de que el canal esté completamente abierto: 1) tan pronto como hv_kvp_init() -&gt; hvutil_transport_init() crea /dev/vmbus/hv_kvp, el demonio kvp puede abrir el archivo del dispositivo inmediatamente y registrarse en el controlador escribiendo un mensaje KVP_OP_REGISTER1 en el archivo (que es manejado por kvp_on_msg() -&gt;kvp_handle_handshake()) y leyendo el archivo para la respuesta del controlador, que es manejada por hvt_op_read(), que llama a hvt-&gt;on_read(), es decir, kvp_register_done(). 2) El problema con kvp_register_done() es que puede provocar que se llame a la devolución de llamada del canal incluso antes de que el canal esté completamente abierto, y cuando la devolución de llamada del canal está comenzando a ejecutarse, util_probe()-&gt; vmbus_open() puede no haber inicializado aún el ringbuffer, por lo que la devolución de llamada puede alcanzar el pánico de la desreferencia de puntero NULL. Para reproducir el pánico de manera consistente, podemos agregar un "ssleep(10)" para KVP en __vmbus_open(), justo antes del primer hv_ringbuffer_init(), y luego descargamos y volvemos a cargar el controlador hv_utils, y ejecutamos el demonio manualmente dentro de los 10 segundos. Solucione el problema reordenando los pasos en util_probe() de modo que la entrada char dev que utiliza el demonio KVP o VSS no se cree hasta que se haya completado vmbus_open(). Esta reordenación evita que se produzca la condición de ejecución. (es) En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Controladores: hv: util: evitar acceder a un búfer de anillo que aún no se ha inicializado Si el daemon KVP (o VSS) se inicia antes de que el búfer de anillo del canal VMBus se haya inicializado por completo, podemos activar el pánico siguiente: hv_utils: registrar el controlador de la utilidad HyperV hv_vmbus: registrar el controlador hv_utils ... ERROR: desreferencia de puntero NULL del kernel, dirección: 000000000000000 CPU: 44 UID: 0 PID: 2552 Comm: hv_kvp_daemon Tainted: GE 6.11.0-rc3+ #1 RIP: 0010:hv_pkt_iter_first+0x12/0xd0 Seguimiento de llamadas: ... vmbus_recvpacket hv_kvp_onchannelcallback vmbus_on_event tasklet_action_common asm_sysvec_hyperv_stimer0 ... kvp_register_done hvt_op_read vfs_read ksys_read __x64_sys_read Esto puede suceder porque la devolución de llamada del canal KVP/VSS se puede invocar incluso antes de que el canal esté completamente abierto: 1) tan pronto como hv_kvp_init() -&gt; hvutil_transport_init() crea /dev/vmbus/hv_kvp, el daemon kvp puede abrir el archivo del dispositivo inmediatamente y registrarse en el controlador escribiendo un mensaje KVP_OP_REGISTER1 en el archivo (que es gestionado por kvp_on_msg() -&gt;kvp_handle_handshake()) y leyendo el archivo para la respuesta del controlador, que es gestionada por hvt_op_read(), que llama a hvt-&gt;on_read(), es decir, kvp_register_done(). 2) El problema con kvp_register_done() es que puede provocar que se llame a la devolución de llamada del canal incluso antes de que el canal esté completamente abierto, y cuando la devolución de llamada del canal está comenzando a ejecutarse, util_probe()-&gt; vmbus_open() puede no haber inicializado aún el ringbuffer, por lo que la devolución de llamada puede alcanzar el pánico de la desreferencia de puntero NULL. Para reproducir el pánico de manera consistente, podemos agregar un "ssleep(10)" para KVP en __vmbus_open(), justo antes del primer hv_ringbuffer_init(), y luego descargamos y volvemos a cargar el controlador hv_utils, y ejecutamos el daemon manualmente dentro de los 10 segundos. Solucione el problema reordenando los pasos en util_probe() de modo que la entrada char dev que utiliza el daemon KVP o VSS no se cree hasta que se haya completado vmbus_open(). Esta reordenación evita que se produzca la condición de ejecución.

16 Jan 2025, 15:18

Type Values Removed Values Added
References () https://git.kernel.org/stable/c/042253c57be901bfd19f15b68267442b70f510d5 - () https://git.kernel.org/stable/c/042253c57be901bfd19f15b68267442b70f510d5 - Patch
References () https://git.kernel.org/stable/c/07a756a49f4b4290b49ea46e089cbe6f79ff8d26 - () https://git.kernel.org/stable/c/07a756a49f4b4290b49ea46e089cbe6f79ff8d26 - Patch
References () https://git.kernel.org/stable/c/3dd7a30c6d7f90afcf19e9b072f572ba524d7ec6 - () https://git.kernel.org/stable/c/3dd7a30c6d7f90afcf19e9b072f572ba524d7ec6 - Patch
References () https://git.kernel.org/stable/c/718fe694a334be9d1a89eed22602369ac18d6583 - () https://git.kernel.org/stable/c/718fe694a334be9d1a89eed22602369ac18d6583 - Patch
References () https://git.kernel.org/stable/c/89fcec5e466b3ac9b376e0d621c71effa1a7983f - () https://git.kernel.org/stable/c/89fcec5e466b3ac9b376e0d621c71effa1a7983f - Patch
References () https://git.kernel.org/stable/c/d81f4e73aff9b861671df60e5100ad25cc16fbf8 - () https://git.kernel.org/stable/c/d81f4e73aff9b861671df60e5100ad25cc16fbf8 - Patch
References () https://git.kernel.org/stable/c/f091a224a2c82f1e302b1768d73bb6332f687321 - () https://git.kernel.org/stable/c/f091a224a2c82f1e302b1768d73bb6332f687321 - Patch
CWE CWE-476
First Time Linux linux Kernel
Linux
CPE cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc3:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc1:*:*:*:*:*:*
cpe:2.3:o:linux:linux_kernel:6.13:rc2:*:*:*:*:*:*
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 5.5
Summary
  • (es) En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: Controladores: hv: util: evitar acceder a un búfer de anillo que aún no se ha inicializado Si el demonio KVP (o VSS) se inicia antes de que el búfer de anillo del canal VMBus se haya inicializado por completo, podemos activar el pánico siguiente: hv_utils: registrar el controlador de la utilidad HyperV hv_vmbus: registrar el controlador hv_utils ... ERROR: desreferencia de puntero NULL del kernel, dirección: 000000000000000 CPU: 44 UID: 0 PID: 2552 Comm: hv_kvp_daemon Tainted: GE 6.11.0-rc3+ #1 RIP: 0010:hv_pkt_iter_first+0x12/0xd0 Seguimiento de llamadas: ... vmbus_recvpacket hv_kvp_onchannelcallback vmbus_on_event tasklet_action_common asm_sysvec_hyperv_stimer0 ... kvp_register_done hvt_op_read vfs_read ksys_read __x64_sys_read Esto puede suceder porque la devolución de llamada del canal KVP/VSS se puede invocar incluso antes de que el canal esté completamente abierto: 1) tan pronto como hv_kvp_init() -&gt; hvutil_transport_init() crea /dev/vmbus/hv_kvp, el demonio kvp puede abrir el archivo del dispositivo inmediatamente y registrarse en el controlador escribiendo un mensaje KVP_OP_REGISTER1 en el archivo (que es manejado por kvp_on_msg() -&gt;kvp_handle_handshake()) y leyendo el archivo para la respuesta del controlador, que es manejada por hvt_op_read(), que llama a hvt-&gt;on_read(), es decir, kvp_register_done(). 2) El problema con kvp_register_done() es que puede provocar que se llame a la devolución de llamada del canal incluso antes de que el canal esté completamente abierto, y cuando la devolución de llamada del canal está comenzando a ejecutarse, util_probe()-&gt; vmbus_open() puede no haber inicializado aún el ringbuffer, por lo que la devolución de llamada puede alcanzar el pánico de la desreferencia de puntero NULL. Para reproducir el pánico de manera consistente, podemos agregar un "ssleep(10)" para KVP en __vmbus_open(), justo antes del primer hv_ringbuffer_init(), y luego descargamos y volvemos a cargar el controlador hv_utils, y ejecutamos el demonio manualmente dentro de los 10 segundos. Solucione el problema reordenando los pasos en util_probe() de modo que la entrada char dev que utiliza el demonio KVP o VSS no se cree hasta que se haya completado vmbus_open(). Esta reordenación evita que se produzca la condición de ejecución.

11 Jan 2025, 13:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-01-11 13:15

Updated : 2025-10-01 20:17

NVD link : CVE-2024-55916

Mitre link : CVE-2024-55916

CVE.ORG link : CVE-2024-55916

JSON object : View

Products Affected

linux

  • linux_kernel
CWE
CWE-476

NULL Pointer Dereference