V procesu rtsold na pozadí a v nástroji rtsol používaném ve FreeBSD byla objevena zranitelnost (CVE-2025-14558). Tato zranitelnost umožňuje vzdálené spuštění kódu s oprávněními root odesláním speciálně vytvořeného paketu IPv6 pro reklamu routeru. Zprávy Router Advertisement (RA) použité ke zneužití této zranitelnosti nejsou směrovány a routery by je měly zahodit. Aby mohl útočník provést útok, musí být schopen odeslat speciálně vytvořený paket ze systému ve stejném segmentu sítě jako zranitelný hostitel.
Proces rtsold na pozadí se používá na hostitelích k automatické konfiguraci připojení IPv6 pomocí mechanismu Stateless Address AutoConfiguration (SLAAC). Hostitel odesílá zprávu ICMPv6 RS (Router Solicitation) v režimu multicast a čeká na odpověď routerů zprávami RA (Router Advertisement) obsahujícími informace o síťových prefixech a konfiguračních parametrech. Nástroj rtsol implementuje podobnou funkcionalitu bez spuštění procesu na pozadí.
Zranitelnost je způsobena tím, že příkaz rtsold předá seznam „vyhledávání domén“ uvedený ve zprávě RA nástroji resolvconf bez ověření nebo escapování speciálních znaků. Nástroj resolvconf je shellový skript, který neověřuje vstupní data. Chcete-li tuto zranitelnost zneužít, jednoduše odešlete paket RA s názvem doména, obsahující speciální znaky, například „test`id`test. Tato zranitelnost byla opravena ve verzích FreeBSD 15.0-RELEASE-p1, 14.3-RELEASE-p7 a 13.5-RELEASE-p8.
FreeBSD 14.3-RELEASE-p7 a 13.5-RELEASE-p8 (větev 15.x není ovlivněna) navíc opravily zranitelnost (CVE-2025-14769) ve filtru paketů ipfw, která mohla způsobit odmítnutí služby odesíláním speciálně vytvořených paketů. Tato zranitelnost se projevuje pouze při použití direktivy „tcp-setmss“ v pravidlech ipfw. K problému dochází, protože za určitých okolností může obslužná rutina tcp-setmss uvolnit paměť obsahující přijatá data paketů a vrátit chybu. Tato chyba byla ignorována modulem pro zpracování pravidel a následnému pravidlu umožnila povolit paket, jehož datová vyrovnávací paměť již byla uvolněna, což vedlo k dereferenci ukazatele NULL.
Zdroj: opennet.ru
