V implementaci NFS serveru používané na systémech BSD byla identifikována kritická zranitelnost (CVE-2024-29937). Tato zranitelnost umožňuje vzdálené spuštění kódu s oprávněními root na serveru. Problém se týká všech verzí OpenBSD a FreeBSD, včetně OpenBSD 7.4 a FreeBSD 14.0-RELEASE. Podrobnosti o zranitelnosti dosud nebyly zveřejněny; je známo pouze to, že je způsobena logickou chybou nesouvisející s poškozením paměti. Je třeba poznamenat, že zranitelnost lze snadno zneužít a použít k útoku na systémy používající NFS, ale soudě dle video demonstrace zranitelnost umožňuje plný přístup ke kořenovému souborovému systému. server a pro zneužití vyžaduje oprávnění k připojení NFS. Článek o této zranitelnosti bude prezentován 18. dubna na konferenci T2'24.
Zdroj: opennet.ru
