Mae bregusrwydd (CVE-2026-7270) wedi'i ddarganfod yn FreeBSD sy'n caniatáu i ddefnyddiwr heb freintiau weithredu cod cnewyllyn a chael mynediad gwraidd i'r system. Mae'r bregusrwydd yn effeithio ar bob rhyddhad FreeBSD a ryddhawyd ers 2013. Mae ecsbloetiad wedi bod ar gael yn gyhoeddus ac wedi'i brofi ar systemau sy'n rhedeg FreeBSD 11.0 hyd at 14.4. Cafodd y bregusrwydd ei drwsio yn FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12, a 13.5-RELEASE-p13. Mae clwt ar gael ar gyfer rhyddhadau hŷn.
Mae'r broblem yn cael ei hachosi gan orlif byffer yn y galwad system execve. Mae hyn yn digwydd wrth brosesu'r rhagddodiad a bennir yn llinell gyntaf y sgriptiau i bennu'r llwybr i'r dehonglydd (er enghraifft, "#!/bin/sh"). Mae'r gorlif yn digwydd yn ystod galwad i'r ffwythiant memmove oherwydd mynegiant mathemategol a luniwyd yn anghywir ar gyfer cyfrifo maint y dadleuon a gopïwyd i'r byffer. Yn lle tynnu gwerthoedd "args->begin_argv" a "consume" o "args->endp", dim ond gwerth "args->begin_argv" a dynnwyd o "args->endp", ac ychwanegwyd y newidyn "consume" at y canlyniad, yn hytrach na'i dynnu, h.y., o ganlyniad, copïwyd mwy o ddata gan ddau werth o "consume". memmove(args->begin_argv + extend, args->begin_argv + consume, - args->endp - args->begin_argv + consume); + args->endp — (args->begin_argv + consume));
Mae'r gorlif yn caniatáu trosysgrifo elfennau o'r strwythur "exec_map" a ddyrannwyd mewn cof cyfagos o broses arall. Mae'r camfanteisio'n defnyddio'r gorlif i drosysgrifo cynnwys "exec_map" prosesau breintiedig a lansir yn rheolaidd ar y system. Y broses a ddewisir yw sshd, sydd, bob tro y sefydlir cysylltiad rhwydwaith, yn fforchio ac yn gweithredu'r broses "/usr/libexec/sshd-session" gyda breintiau gwraidd.
Mae'r camfanteisio yn amnewid y newidyn amgylcheddol "LD_PRELOAD=/tmp/evil.so" ar gyfer y broses hon, gan achosi i'w lyfrgell gael ei llwytho yng nghyd-destun sesiwn sshd. Mae'r llyfrgell a chwistrellwyd yn creu ffeil weithredadwy o'r enw /tmp/rootsh yn y system ffeiliau gyda'r faner gwraidd suid. Amcangyfrifir bod cyfradd llwyddiant y camfanteisio yn 0.6%, ond diolch i'r ail-geisio cylchol, cyflawnir camfanteisio llwyddiannus mewn tua 6 eiliad ar system gyda CPU 4-craidd.
Yn ogystal, mae nifer o wendidau eraill wedi'u trwsio yn FreeBSD:
- Mae CVE-2026-35547 a CVE-2026-39457 yn orlifiadau byffer yn llyfrgell libnv, a ddefnyddir yn y cnewyllyn ac mewn cymwysiadau system sylfaenol i brosesu rhestrau allweddi/gwerthoedd a thrin cyfathrebu rhyngbrosesau. Achosir y broblem gyntaf gan gyfrifo maint y neges yn anghywir wrth brosesu penawdau negeseuon IPC wedi'u crefftio'n arbennig. Mae'r ail broblem yn arwain at orlif pentwr yn ystod cyfathrebu soced oherwydd diffyg gwiriadau i sicrhau bod maint y disgrifiad soced yn cyfateb i faint y byffer a ddefnyddir yn y swyddogaeth select(). Gellir manteisio ar y gwendidau hyn o bosibl i gynyddu breintiau.
- Mae CVE-2026-42512 yn orlif byffer y gellir ei ecsbloetio o bell yn dhclient oherwydd cyfrifiad anghywir o faint arae pwyntydd a ddefnyddir i basio newidynnau amgylcheddol i dhclient-script. Mae'n bosibl creu ecsbloet ar gyfer gweithredu cod o bell trwy anfon pecyn DHCP wedi'i grefftio'n arbennig.
- CVE-2026-7164 – Mae gwendid gorlif pentwr yn yr hidlydd pecynnau pf yn digwydd wrth brosesu pecynnau SCTP wedi'u crefftio'n arbennig. Mae'r broblem yn cael ei hachosi gan ddadansoddi dychweliadol heb ei gyfyngu o baramedrau SCTP.
- CVE-2026-42511 – Mae'n bosibl mewnosod cyfarwyddebau mympwyol i mewn i dhclient.conf oherwydd diffyg dianc cromfachau dwbl mewn meysydd BOOTP a dderbyniwyd gan weinydd DHCP allanol. Pan fydd y broses dhclient yn dadansoddi'r ffeil hon wedi hynny, mae maes penodedig yr ymosodwr yn cael ei basio i dhclient-script, y gellir ei ddefnyddio i weithredu gorchmynion mympwyol gyda breintiau gwraidd ar systemau sy'n rhedeg dhclient wrth gyrchu gweinydd DHCP a reolir gan yr ymosodwr.
- CVE-2026-6386 — Triniaeth annigonol o dudalennau cof mawr yn y ffwythiant cnewyllyn pmap_pkru_update_range(). Gall defnyddiwr difreintiedig achosi i pmap_pkru_update_range() drin cof gofod defnyddiwr fel tudalen yn y tabl tudalennau cof, a thrwy hynny drosysgrifennu rhanbarth cof heb awdurdod.
- CVE-2026-5398 - Mae cyfeiriad at ranbarth cof a ryddhawyd yn flaenorol yn y trinwr TIOCNOTTY yn caniatáu i broses heb freintiau ennill breintiau gwraidd.
Ffynhonnell: opennet.ru
