Una vulnerabilità (CVE-2026-7270) hè stata scuperta in FreeBSD chì permette à un utilizatore senza privilegi d'eseguisce u codice di u kernel è d'ottene l'accessu root à u sistema. A vulnerabilità affetta tutte e versioni di FreeBSD publicate dapoi u 2013. Un exploit hè statu dispunibule publicamente è hè statu testatu nantu à sistemi chì utilizanu FreeBSD 11.0 à 14.4. A vulnerabilità hè stata corretta in FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 è 13.5-RELEASE-p13. Una patch hè dispunibule per e versioni più vechje.
U prublema hè causatu da un buffer overflow in a chjama di sistema execve. Questu accade quandu si processa u prefissu specificatu in a prima linea di scripts per determinà u percorsu versu l'interprete (per esempiu, "#!/bin/sh"). U overflow si verifica durante una chjama à a funzione memmove per via di una espressione matematica custruita in modu incorrectu per calculà a dimensione di l'argumenti copiati in u buffer. Invece di sottrae i valori di "args->begin_argv" è "consume" da "args->endp", solu u valore di "args->begin_argv" hè statu sottrattu da "args->endp", è a variabile "consume" hè stata aghjunta à u risultatu, invece di esse sottratta, vale à dì, cum'è risultatu, più dati sò stati copiati da dui valori di "consume". memmove(args->begin_argv + extend, args->begin_argv + consume, - args->endp - args->begin_argv + consume); + args->endp — (args->begin_argv + consume));
U overflow permette di sovrascrive elementi di a struttura "exec_map" allocati in a memoria adiacente da un altru prucessu. L'exploit usa u overflow per sovrascrive u cuntenutu di l'"exec_map" di i prucessi privilegiati lanciati periodicamente nantu à u sistema. U prucessu sceltu hè sshd, chì, ogni volta chì una cunnessione di rete hè stabilita, bifurca è esegue u prucessu "/usr/libexec/sshd-session" cù privilegi di root.
L'exploit sustituisce a variabile d'ambiente "LD_PRELOAD=/tmp/evil.so" per questu prucessu, pruvucendu u caricamentu di a so biblioteca in u cuntestu sshd-session. A biblioteca iniettata crea un schedariu eseguibile chjamatu /tmp/rootsh in u sistema di schedari cù a bandera suid root. U tassu di successu di l'exploit hè stimatu à 0.6%, ma grazia à u tentativu ciclicu, u sfruttamentu riesciutu hè ottenutu in circa 6 secondi nantu à un sistema cù una CPU à 4 core.
Inoltre, parechje altre vulnerabilità sò state corrette in FreeBSD:
- CVE-2026-35547 è CVE-2026-39457 sò buffer overflows in a biblioteca libnv, chì hè aduprata in u kernel è in l'applicazioni di u sistema di basa per processà liste chjave/valore è gestisce a cumunicazione interprocessu. U primu prublema hè causatu da u calculu incorrectu di a dimensione di u missaghju quandu si processanu intestazioni di missaghji IPC appositamente cuncepite. U secondu prublema provoca un stack overflow durante a cumunicazione socket per via di una mancanza di cuntrolli per assicurà chì a dimensione di u descrittore di socket currisponde à a dimensione di u buffer aduprata in a funzione select(). Queste vulnerabilità ponu esse potenzialmente sfruttate per aumentà i privilegi.
- CVE-2026-42512 hè un buffer overflow sfruttabile à distanza in dhclient per via di un calculu incorrectu di a dimensione di un array di puntatori utilizatu per passà variabili d'ambiente à dhclient-script. Hè pussibule creà un exploit per l'esecuzione di codice à distanza mandendu un pacchettu DHCP appositamente cuncipitu.
- CVE-2026-7164 – Una vulnerabilità di stack overflow in u filtru di pacchetti pf si verifica durante l'elaborazione di pacchetti SCTP appositamente cuncepiti. U prublema hè causatu da l'analisi recursiva illimitata di i parametri SCTP.
- CVE-2026-42511 – Hè pussibule d'inserisce direttive arbitrarie in dhclient.conf per via di una scappata inadeguata di e parentesi doppie in i campi BOOTP ricevuti da un servitore DHCP esternu. Quandu u prucessu dhclient analizza successivamente stu schedariu, u campu specificatu da l'attaccante hè passatu à dhclient-script, chì pò esse adupratu per eseguisce cumandamenti arbitrarie cù privilegi di root nantu à i sistemi chì eseguenu dhclient quandu si accede à un servitore DHCP cuntrullatu da l'attaccante.
- CVE-2026-6386 — Gestione insufficiente di pagine di memoria di grande dimensione in a funzione di u kernel pmap_pkru_update_range(). Un utilizatore senza privilegi pò fà chì pmap_pkru_update_range() tratti a memoria di u spaziu utilizatore cum'è una pagina in a tavula di pagine di memoria, sovrascrivendu cusì una regione di memoria micca autorizata.
- CVE-2026-5398 - Un riferimentu à una regione di memoria liberata prima in u gestore TIOCNOTTY permette à un prucessu senza privilegi d'ottene privilegi di root.
Source: opennet.ru
