Op 20 maaie 2026 hawwe FreeBSD-ûntwikkelders patches oankundige foar sân nije kwetsberheden yn it systeem. Net allegear binne se like gefaarlik, mar guon binne ekstreem gefaarlik.
CVE-2026-45251 — brûk-nei-frij yn selektear-like syscalls as harren wachtlist prosesdeskriptors befettet (yn FreeBSD 15 binne der ek nije jaildeskriptors), en dizze deskriptors waarden sluten yn in oare thread wylst de wachtende syscall noch wachte. Te oardieljen nei dizze ferplichtingDeskriptoren relatearre oan netmap (de netwurkadapterstjoerprogramma foar fersnelde direkte tagong) wurde ek beynfloede, mar d'r is gjin offisjele ynformaasje hjiroer. Prosesdeskriptoren waarden yntrodusearre yn FreeBSD 9, dus de kwetsberens bestiet wierskynlik sûnt dy tiid. De offisjele ferklearring stelt dat de kwetsberens it mooglik makket om superbrûkersrjochten te krijen. D'r is gjin manier om it te ferminderjen sûnder in patch of update.
CVE-2026-45250 — in ferkearde buffergrutteberekkening en dêrnei in stackwrite yn 'e setcred-systeemoprop. Hoewol setcred sels root-privileezjes fereasket, komt de stackkorrupsje foar foardat de privileezjes kontrolearre wurde en is dus tagonklik foar elkenien. Dizze systeemoprop waard yntrodusearre yn FreeBSD 14.3 (wat betsjut dat eardere ferzjes net beynfloede wurde) en biedt in manier om alle brûkers- en groep-ID's fan it hjoeddeiske proses yn ien oprop yn te stellen, ynstee fan setuid+setgid+setgroups en ferlykbere kombinaasjes te brûken. De kwetsberens makket it mooglik om kweade koade út te fieren yn 'e kernelkontekst. Der is gjin manier om it te ferminderjen sûnder in patch of update.
CVE-2026-45252 — gjin kontrôle op in beëinigjende null foardat in tekenrige dy't ûntfongen is fan 'e fuse-daemon nei in nije buffer kopiearre wurdt. D'r is lykwols in kontrôle foar de maksimale kopygrutte, en it is ûnmooglik om mear as 253 ekstra bytes út kernelûnthâld te lêzen. It is ek mooglik om maksimaal 250 bytes te skriuwen nei "net-tawiisde kernel heapromte". Standert foarkomt FreeBSD dat net-root-brûkers bestânssystemen mountje, wat betsjut dat it ynstallearjen fan in kweade fuse-daemon yn 'e kernel root-tagong fereasket. As sysctl vfs.usermount=1 lykwols, wurdt it systeem ek kwetsber foar reguliere brûkers. It is ek de muoite wurdich om it gefaar fan 'e fuse-daemon yn 'e jail te beskôgjen, wêr't it root kin wêze (hoewol dit ek standert ferbean is).
CVE-2026-45253 — By it brûken fan ptrace wie it mooglik om in systeemoprop te starten mei in ferkeard nûmer yn in debugged proses, wat late ta de útfiering fan kernelkoade dy't net bedoeld wie om útfierd te wurden as in systeemoprop, mei potinsjeel desastreuze gefolgen. As security.bsd.unprivileged_proc_debug=0 ynsteld is (wat sowieso goede praktyk is foar servers, en it systeemynstallearder biedt dizze opsje sels oan), sille brûker- en jailed prosessen ptrace net brûke kinne, wêrtroch't de kwetsberens allinich tagonklik is foar root.
CVE-2026-45255 — Shell-kommando's mei root-privileezjes ynjeksjearje yn bsdinstall/bsdconfig fia de nammen fan kweade draadloze netwurken dy't net kontrolearre waarden by it besjen fan har list. Om dizze kwetsberens te foarkommen, foarkom gewoan it besjen fan de list mei draadloze netwurken fanút bsdinstall/bsdconfig.
CVE-2026-39461, CVE-2026-45254 — kwetsberheden yn 'e libcasper-bibleteek (net yn 'e kernel). De bibleteek is ûntworpen foar feilige, konfigurearbere foarsjenning fan tsjinsten oan sandbox-prosessen. Ien kwetsberens is relatearre oan in stack overflow en stackkorrupsje fanwegen de organisaasje fan grutte bestânsdeskriptornûmers troch de bibleteek (it wie ûntworpen foar getallen oant 1024, de standertlimyt foar struktueren foar de selektearre syscall). De twadde kwetsberens is de mooglikheid om opleine listen mei beheiningen te ferwiderjen (de filosofy fan 'e bibleteek is dat beheiningen dy't ienris oplein binne oan in proses allinich sterker kinne wurde) cap_net.
De patched ferzjes fan it systeem binne nûmere: 14.3-RELEASE-p14, 14.4-RELEASE-p5, en 15.0-RELEASE-p9. It is ek it neamen wurdich in wichtich punt foar guon: FreeBSD 13.5 is koartlyn stopset - 30 april 2026 - en d'r binne gjin offisjele reparaasjes derfoar (of foar de 13.x-tûke yn 't algemien). As jo lykwols om ien of oare reden net wolle upgrade nei de 14.x-release, jilde de patches foar 14.3 oer it algemien foar de 13.5-boarnekoade, en CVE-2026-45250 is irrelevant foar de 13.x-tûke fanwegen it ûntbrekken fan setcred().
Boarne: linux.org.ru
