Vundebleco (CVE-2026-7270) estis malkovrita en FreeBSD, kiu permesas al neprivilegia uzanto ekzekuti kernan kodon kaj akiri administran aliron al la sistemo. La vundebleco influas ĉiujn eldonojn de FreeBSD ekde 2013. Ekspluato estis publike havebla kaj testita sur sistemoj funkciigantaj FreeBSD 11.0 ĝis 14.4. La vundebleco estis riparita en FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12, kaj 13.5-RELEASE-p13. Flikaĵo estas havebla por pli malnovaj eldonoj.
La problemon kaŭzas bufrosuperfluo en la sistemvoko "execve". Ĉi tio okazas dum prilaborado de la prefikso specifita en la unua linio de skriptoj por determini la vojon al la interpretilo (ekzemple, "#!/bin/sh"). La superfluo okazas dum voko al la funkcio memmove pro malĝuste konstruita matematika esprimo por kalkuli la grandecon de argumentoj kopiitaj al la bufro. Anstataŭ subtrahi la valorojn de "args->begin_argv" kaj "consume" de "args->endp", nur la valoro de "args->begin_argv" estis subtrahita de "args->endp", kaj la variablo "consume" estis aldonita al la rezulto, anstataŭ subtrahita, t.e., rezulte, pli da datumoj estis kopiitaj per du valoroj de "consume". memmove(args->begin_argv + extend, args->begin_argv + consume, - args->endp - args->begin_argv + consume); + args->endp — (args->begin_argv + consume));
La superfluo permesas anstataŭigi elementojn de la strukturo "exec_map" asignitaj en apuda memoro de alia procezo. La ekspluato uzas la superfluon por anstataŭigi la enhavon de la "exec_map" de privilegiaj procezoj periode lanĉitaj sur la sistemo. La elektita procezo estas sshd, kiu, ĉiufoje kiam retkonekto estas establita, forkigas kaj efektivigas la procezon "/usr/libexec/sshd-session" kun administraj privilegioj.
La ekspluato anstataŭigas la ĉirkaŭan variablon "LD_PRELOAD=/tmp/evil.so" por ĉi tiu procezo, kaŭzante la ŝarĝon de ĝia biblioteko en la sshd-session-kunteksto. La injektita biblioteko kreas efektivigeblan dosieron nomatan /tmp/rootsh en la dosiersistemo kun la suid-flago "root". La sukcesfrekvenco de la ekspluato estas taksita je 0.6%, sed danke al la cikla reprovo, sukcesa ekspluato estas atingita en proksimume 6 sekundoj sur sistemo kun 4-kerna CPU.
Krome, pluraj pliaj vundeblecoj estis riparitaj en FreeBSD:
- CVE-2026-35547 kaj CVE-2026-39457 estas bufrosuperfluaĵoj en la biblioteko libnv, kiu estas uzata en la kerno kaj en bazaj sistemaj aplikaĵoj por prilabori ŝlosilo/valorlistojn kaj pritrakti interprocezan komunikadon. La unua problemo estas kaŭzita de malĝusta kalkulado de la mesaĝograndeco dum prilaborado de speciale kreitaj IPC-mesaĝkaplinioj. La dua problemo rezultigas staksuperfluon dum ingokomunikado pro manko de kontroloj por certigi, ke la grandeco de la ingopriskribilo kongruas kun la bufrograndeco uzata en la funkcio select(). Ĉi tiuj vundeblecoj povas esti eble ekspluatitaj por plialtigi privilegiojn.
- CVE-2026-42512 estas malproksime ekspluatebla bufrotrofluo en dhclient pro malĝusta kalkulo de la grandeco de montrila tabelo uzata por pasi mediajn variablojn al dhclient-script. Eblas krei ekspluaton por malproksime ekzekuti kodon sendante speciale kreitan DHCP-pakaĵeton.
- CVE-2026-7164 - Vundebleco de staka superfluo en la pf-pakaĵfiltrilo okazas dum prilaborado de speciale kreitaj SCTP-pakaĵoj. La problemo estas kaŭzita de senlima rekursia analizo de SCTP-parametroj.
- CVE-2026-42511 – Eblas enmeti arbitrajn direktivojn en dhclient.conf pro neadekvata eskapo de duoblaj krampoj en BOOTP-kampoj ricevitaj de ekstera DHCP-servilo. Kiam la dhclient-procezo poste analizas ĉi tiun dosieron, la specifita kampo de la atakanto estas transdonita al dhclient-script, kiu povas esti uzata por plenumi arbitrajn komandojn kun administraj rajtoj sur sistemoj funkciigantaj per dhclient dum aliro al DHCP-servilo kontrolita de la atakanto.
- CVE-2026-6386 — Nesufiĉa traktado de grandaj memorpaĝoj en la kerna funkcio pmap_pkru_update_range(). Senprivilegia uzanto povas kaŭzi, ke pmap_pkru_update_range() traktu uzant-spacan memoron kiel paĝon en la memorpaĝa tabelo, tiel anstataŭigante neaŭtorizitan memorregionon.
- CVE-2026-5398 - Referenco al antaŭe liberigita memorregiono en la TIOCNOTTY-traktilo permesas al neprivilegia procezo akiri administrajn privilegiojn.
fonto: opennet.ru
