<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 8, 2021 at 5:04 AM Tim Gardner <<a href="mailto:tim.gardner@canonical.com">tim.gardner@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On 4/8/21 2:01 AM, Stefan Bader wrote:<br>
> On 06.04.21 16:45, Tim Gardner wrote:<br>
>> [SRU Justification]<br>
>><br>
>> An issue was discovered in the Linux kernel before 5.11.11. The netfilter<br>
>> subsystem allows attackers to cause a denial of service (panic) because<br>
>> net/netfilter/x_tables.c and include/linux/netfilter/x_tables.h lack a<br>
>> full memory barrier upon the assignment of a new table value, aka <br>
>> CID-175e476b8cdf.<br>
>><br>
>> This DOS has existed since v3.0. It was partially mitigated by<br>
>> cc00bcaa589914096edef7fb87ca5cee4a166b5c ("netfilter: x_tables: Switch<br>
>> synchronization to RCU") in v5.10, but was then reverted in v5.12 <br>
>> which restored the<br>
>> full DOS vulnerability. Hence the fix commit <br>
>> 175e476b8cdf2a4de7432583b49c871345e4f8a1<br>
>> in v5.12.<br>
>><br>
>> Focal, Hirsute, and oem-5.10 will get this patch via stable updates.<br>
>><br>
>> [Test Plan]<br>
>><br>
>> None<br>
>><br>
>> [Where problems could occur]<br>
> <br>
>><br>
>> At most this patch might introduce a performance reduction, though<br>
>> upstream testing has not been able to detect any.<br>
>><br>
>> [Other Info]<br>
> <br>
>> Released in stable updates:<br>
>> linux-4.19.y<br>
>> linux-5.10.y<br>
>> linux-5.11.y<br>
>> linux-5.4.y<br>
>><br>
>><br>
> For Groovy I was wondering what would happen if the revert of the RCU <br>
> patches appears as stable patches. That patch dropped a smp_wmb() call, <br>
> so if the revert happens this gets re-introduced. Is there any good way <br>
> to prevent this?<br>
> <br>
<br>
We could apply (Revert "netfilter: x_tables: Switch synchronization to <br>
RCU") proactively before Kamal gets to it since upstream stable saw fit <br>
to do so for their supported kernels. Then commit <br>
175e476b8cdf2a4de7432583b49c871345e4f8a1 ("netfilter: x_tables: Use <br>
correct memory barriers.") would likely be a clean cherry-pick.<br>
<br>
rtg<br></blockquote><div><br></div><div>Yes, that ^^ is a fine plan.  If that revert is already in the tree when I come across it in an upstream patch set, I'll simply detect it as "already applied" and move along.</div><div><br></div><div> -Kamal</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> For the time being:<br>
> Acked-by: Stefan Bader <<a href="mailto:stefan.bader@canonical.com" target="_blank">stefan.bader@canonical.com</a>><br>
> <br>
<br>
-- <br>
-----------<br>
Tim Gardner<br>
Canonical, Inc<br>
</blockquote></div></div>