Ένα θέμα ευπάθειας (CVE-2025-14558) ανακαλύφθηκε στη διεργασία παρασκηνίου rtsold και στο βοηθητικό πρόγραμμα rtsol που χρησιμοποιείται στο FreeBSD. Αυτό το θέμα ευπάθειας επιτρέπει την απομακρυσμένη εκτέλεση κώδικα με δικαιώματα root, στέλνοντας ένα ειδικά κατασκευασμένο πακέτο διαφήμισης δρομολογητή IPv6. Τα μηνύματα διαφήμισης δρομολογητή (RA) που χρησιμοποιούνται για την εκμετάλλευση του θέματος ευπάθειας δεν δρομολογούνται και θα πρέπει να απορρίπτονται από τους δρομολογητές. Για να εκτελέσει την επίθεση, ένας εισβολέας πρέπει να είναι σε θέση να στείλει ένα ειδικά κατασκευασμένο πακέτο από ένα σύστημα στο ίδιο τμήμα δικτύου με τον ευάλωτο κεντρικό υπολογιστή.
Η διεργασία παρασκηνίου rtsold χρησιμοποιείται σε κεντρικούς υπολογιστές για την αυτόματη ρύθμιση παραμέτρων συνδέσεων IPv6 χρησιμοποιώντας τον μηχανισμό Stateless Address AutoConfiguration (SLAAC). Ο κεντρικός υπολογιστής στέλνει ένα μήνυμα ICMPv6 RS (Router Solicitation) σε λειτουργία πολλαπλής διανομής και περιμένει τους δρομολογητές να απαντήσουν με μηνύματα RA (Router Advertisement) που περιέχουν πληροφορίες σχετικά με προθέματα δικτύου και παραμέτρους ρύθμισης παραμέτρων. Το βοηθητικό πρόγραμμα rtsol εφαρμόζει παρόμοια λειτουργικότητα χωρίς να εκτελεί διεργασία παρασκηνίου.
Η ευπάθεια προκαλείται από την rtsold που διαβιβάζει τη λίστα "αναζήτηση τομέα" που καθορίζεται στο μήνυμα RA στο βοηθητικό πρόγραμμα resolvconf χωρίς επικύρωση ή διαφυγή ειδικών χαρακτήρων. Το βοηθητικό πρόγραμμα resolvconf είναι ένα σενάριο κελύφους που δεν επικυρώνει δεδομένα εισόδου. Για να εκμεταλλευτείτε την ευπάθεια, απλώς στείλτε ένα πακέτο RA με το όνομα τομέα, που περιέχει ειδικούς χαρακτήρες, όπως "test`id`test. Η ευπάθεια διορθώθηκε στις εκδόσεις FreeBSD 15.0-RELEASE-p1, 14.3-RELEASE-p7 και 13.5-RELEASE-p8.
Επιπλέον, οι εκδόσεις FreeBSD 14.3-RELEASE-p7 και 13.5-RELEASE-p8 (ο κλάδος 15.x δεν επηρεάζεται) διόρθωσαν μια ευπάθεια (CVE-2025-14769) στο φίλτρο πακέτων ipfw που θα μπορούσε να προκαλέσει άρνηση υπηρεσίας στέλνοντας ειδικά κατασκευασμένα πακέτα. Η ευπάθεια εκδηλώνεται μόνο κατά τη χρήση της οδηγίας "tcp-setmss" στους κανόνες ipfw. Το πρόβλημα παρουσιάζεται επειδή, υπό ορισμένες συνθήκες, ο χειριστής tcp-setmss μπορεί να ελευθερώσει μνήμη που περιέχει δεδομένα πακέτων που ελήφθησαν και να επιστρέψει ένα σφάλμα. Αυτό το σφάλμα αγνοήθηκε από τη μηχανή επεξεργασίας κανόνων, επιτρέποντας σε έναν επόμενο κανόνα να επιτρέψει σε ένα πακέτο του οποίου το buffer δεδομένων είχε ήδη ελευθερωθεί, με αποτέλεσμα την κατάργηση αναφοράς του δείκτη NULL.
Πηγή: opennet.ru
