Sa FreeBSD vulnerability (CVE-2019-5611) nga nagtugot kanimo sa pagpahinabo sa usa ka kernel crash (packet-of-death) pinaagi sa pagpadala sa espesyal nga fragmented ICMPv6 MLD packets (). Problema ang kakulang sa gikinahanglan nga pagsusi sa m_pulldown() nga tawag, nga mahimong moresulta sa dili magkadugtong nga mga mbuf nga ibalik, sukwahi sa gipaabot sa nanawag.
Kaluyahon sa mga update 12.0-RELEASE-p10, 11.3-RELEASE-p3 ug 11.2-RELEASE-p14. Isip usa ka solusyon sa seguridad, mahimo nimong i-disable ang suporta sa fragmentation alang sa IPv6 o mga kapilian sa pagsala sa header sa firewall (Hop-by-Hop). Makapainteres, ang bug nga nagdala sa pagkahuyang giila kaniadtong 2006 ug giayo sa OpenBSD, NetBSD ug macOS, apan nagpabilin nga wala ma-fix sa FreeBSD, bisan pa sa kamatuoran nga ang mga developer sa FreeBSD gipahibalo sa problema.
Mahimo usab nimong matikdan ang pagwagtang sa duha pa nga mga kahuyangan sa FreeBSD:
- - pag-awas sa reference counter alang sa mga istruktura sa datos sa mga mqueuef kung naggamit sa 32-bit nga mga librarya sa usa ka 64-bit nga palibot (32-bit compat). Ang problema mahitabo sa diha nga ang pagpagana sa mga mqueuef, nga dili aktibo sa default, ug mahimong mosangpot sa pag-access sa mga file, mga direktoryo ug mga socket nga giablihan sa mga proseso nga iya sa ubang mga tiggamit, o sa pag-access sa mga eksternal nga mga file gikan sa palibot sa bilanggoan. Kung ang tiggamit adunay gamut nga pag-access sa bilanggoan, ang pagkahuyang nagtugot sa usa nga makakuha og gamut nga agianan sa kilid sa host environment.
- - usa ka problema sa multi-threaded nga pag-access sa /dev/midistat device kung mahitabo ang kondisyon sa lumba mahimong mosangpot sa pagbasa sa mga lugar sa kernel memory sa gawas sa mga utlanan sa buffer nga gigahin alang sa midistat. Sa 32-bit nga mga sistema, ang pagsulay sa pagpahimulos sa kahuyang mosangpot sa pagkahagsa sa kernel, ug sa 64-bit nga mga sistema kini nagtugot sa usa nga madiskobrehan ang mga sulod sa arbitraryong mga bahin sa kernel memory.
Source: opennet.ru