Malproksime ekspluateblaj vundeblecoj en la FreeBSD-kerno, Vim, kaj Emacs

Vundebleco (CVE-2026-4747) estis riparita en FreeBSD. Ĉi tiu vundebleco permesas kodplenumon je kerno-nivelo per sendado de retpakaĵetoj al NFS-servilo. La problemo okazas dum uzado de la modulo kgssapi.ko, kiu efektivigas la API-on RPCSEC_GSS en la kerno. Aldone al la kerno, la vundebleco influas uzant-spacajn aplikaĵojn, kiuj uzas la bibliotekon librpcgss_sec kaj plenumas RPC-servilajn funkciojn. Tiaj aplikaĵoj, kiuj ne estas parto de la baza sistemo de FreeBSD, ankaŭ povas esti atakitaj per sendado de retpakaĵetoj.

La problemo ekzistas en la efektivigo de la GSS (Ĝeneralaj Sekurecaj Servoj) API, kiu ebligas la establon de sekuraj aŭtentikigitaj komunikaj kanaloj kun serviloRPCSEC_GSS estas uzata en NFS-serviloj por protekti aliron al Sun RPC uzante Kerberos-bazitan aŭtentigon kaj ĉifritan trafikon inter la servilo kaj la kliento. La problemo estas kaŭzita de pakaĵdatumoj kopiitaj al fiksa bufro dum subskribo-kontrolo sen konfirmo de ĝusta grandeco. La eraro okazas antaŭ aŭtentigo sed postulas la kapablon sendi retpakaĵetojn al la NFS-servilo. Ekspluato estas havebla, kiu permesas malproksiman ekzekuton de /bin/sh kun administraj rajtoj.

La vundeblecon malkovris dungito de Anthropic uzante la AI-asistanton Claude. Rimarkinde, triapartaj esploristoj de la teamo de Kalifornio uzis Claude por verki funkcian ekspluaton, uzante nur la ĝeneralan raporton pri vundebleco publikigitan de la projekto FreeBSD kiel informon. Aldone al rekta ekspluatado de la vundebleco, la AI-modelo deplojis virtualan maŝinon kun la vundebla agordo, starigis malproksiman sencimigadon kaj legadon de kerna kraŝdumpilo, kaj ankaŭ ekzekutis /bin/sh ene de la ekspluato post atingi kerna-nivelan kodplenumon. La ekspluato bezonis kvar horojn da la tempo de Claude por krei.

La esploristoj, kiuj kreis la ekspluaton, iris pluen kaj daŭrigis siajn eksperimentojn, uzante Claude por identigi vundeblecojn en Vim kaj Emacs, kiuj povus permesi kodplenumon dum malfermado de speciale kreitaj dosieroj en ĉi tiuj redaktiloj. Rimarkinde, la promptoj de la modelo reduktiĝis al simpla problemdeklaro, kiel ekzemple "trovu nul-tagan vundeblecon en Vim, kiu okazas dum malfermado de dosiero." Fine, la modelo de Claude sukcese identigis antaŭe nekonatajn vundeblecojn.

Vundebleco en Vim (CVE-2026-34714) estas kaŭzita de eraro en la pritraktado de la opcio tabpanel en la defaŭlta modeline-reĝimo (":set modeline"), kiu permesas specifi redaktajn opciojn en la prilaborata dosiero. Kiel dizajnite de la Vim-programistoj, modeline permesas nur limigitan nombron da opcioj esti agorditaj, kaj esprimoj en ĉi tiuj opcioj estas plenumitaj en sablokest-reĝimo, kiu permesas nur la plej simplajn, sekurajn operaciojn.

La opcio tabpanel ne havis la flagon P_MLE agordita, permesante uzi la esprimon %{expr} sen aktivigi la reĝimon modelineexpr. Por preteriri la sablokest-izoladon, difekto en la funkcio autocmd_add() estis ekspluatita. Al la funkcio mankis taŭgaj sekurecaj kontroloj dum ligado de ago al la evento SafeStateAgain, permesante la plenumon de la komando post eliro el la sablokest-izolado. La vundebleco estis riparita en Vim v9.2.0272. Ekzemplo de linio kiu ekzekutas la ilon "id" kaj direktas la eliron al la dosiero "/tmp/calif-vim-rce-poc": /* vim: set showtabpanel=2 tabpanel=%{%autocmd_add([{'event'\:'SafeStateAgain','pattern'\:'*','cmd'\:'!id>/tmp/calif-vim-rce-poc','once'\:1}])%}: */

Vundebleco en Emacs estas kaŭzita de aŭtomata prilaborado de la enhavo de la dosierujo .git/ kiam ĝi troviĝas en la sama dosierujo kiel la dosiero malfermata. En ĉi tiu kazo, malfermante dosieron, Emacs ekzekutas la komandojn "git ls-files" kaj "git status", ekzekutitaj en la kunteksto de la enhavo de ".git/". Por ekzekuti kodon, simple malfermu dosieron en Emacs el dosierujo enhavanta subdosierujon .git/ kun agordodosiero "config", kiu inkluzivas la opcion "core.fsmonitor" kun la specifita komando de la atakanto por ekzekuti. La GNU Emacs-prizorgistoj rifuzis ripari la vundeblecon, citante Git-specifan problemon.

Krome, oni povas rimarki du pliajn vundeblecojn:

  • CVE-2026-33150 - Vundebleco de tipo "uzo-post-liberigo" en la io_uring-traktilo de la libfuse-biblioteko eble permesas kod-ekzekuton kiam elĉerpiĝas disponeblaj rimedoj dum laborado kun dosiersistemoj efektivigitaj per FUSE (Dosiersistemo en Uzantspaco).
  • CVE-2026-34743 — Bufro-trofluo en la efektivigo de la funkcio lzma_index_append() el la biblioteko liblzma. La problemo manifestiĝas dum uzado de la funkcio lzma_index_decoder() por deĉifri indekson, kiu enhavas neniujn erojn, rezultante en la asigno de pli malgranda bufro ol necese. Rimarkinde, la malaltnivela lzma_index* API estas uzata ekstreme malofte en aplikaĵoj, kaj estas malverŝajne, ke aplikaĵoj, kiuj plenumas la necesajn kondiĉojn por indeksa manipulado, estas ekspluatataj. La vundebleco estas riparita en XZ Utils 5.8.3.

fonto: opennet.ru

Aĉetu fidindan gastigadon por retejoj kun DDoS-protekto, VPS-VDS-serviloj 🔥 Aĉetu fidindan retejan gastigadon kun DDoS-protekto, VPS VDS-servilojn | ProHoster