Ma ka lā 20 o Mei, 2026, ua hoʻolaha nā mea hoʻomohala FreeBSD i nā hoʻoponopono no ʻehiku mau nāwaliwali hou i loko o ka ʻōnaehana. ʻAʻole like ka weliweli o lākou a pau, akā he ʻino loa kekahi.
CVE-2026-45251 — use-after-free i nā syscalls koho-like inā loaʻa i kā lākou papa inoa kali nā wehewehe hana (ma FreeBSD 15, aia kekahi mau wehewehe hale paʻahao hou), a ua pani ʻia kēia mau wehewehe i loko o kahi kaula ʻē aʻe ʻoiai ke kali nei ka syscall kali. Ke hoʻoholo nei e kēia hoʻopaʻa ʻanaUa hoʻopilikia ʻia hoʻi nā wehewehe e pili ana i ka netmap (ka mea hoʻokele adapter pūnaewele no ke komo pololei wikiwiki ʻana), akā ʻaʻohe ʻike kūhelu e pili ana i kēia. Ua hoʻolauna ʻia nā wehewehe kaʻina hana ma FreeBSD 9, no laila ua kū paha ka nāwaliwali mai ia manawa. Ua ʻōlelo ka ʻōlelo kūhelu e ʻae ana ka nāwaliwali i nā kuleana superuser e loaʻa. ʻAʻohe ala e hōʻemi ai iā ia me ka ʻole o kahi patch a i ʻole update.
CVE-2026-45250 — he helu pono ʻole o ka nui o ka buffer a me ke kākau ʻana o ka stack ma hope i loko o ke kāhea ʻōnaehana setcred. ʻOiai ʻo setcred ponoʻī e koi ana i nā kuleana kumu, hana ʻia ka palaho o ka stack ma mua o ka nānā ʻia ʻana o nā kuleana a no laila hiki ke loaʻa i nā mea āpau. Ua hoʻolauna ʻia kēia kāhea ʻōnaehana ma FreeBSD 14.3 (ʻo ia hoʻi, ʻaʻole i hoʻopilikia ʻia nā mana mua) a hāʻawi i kahi ala e hoʻonohonoho ai i nā ID mea hoʻohana a me nā hui āpau o ke kaʻina hana o kēia manawa i hoʻokahi kāhea, ma kahi o ka hoʻohana ʻana i ka setuid+setgid+setgroups a me nā hui like. ʻAe ka nāwaliwali i ke code ʻino e hoʻokō ʻia i loko o ka pōʻaiapili kernel. ʻAʻohe ala e hōʻemi ai iā ia me ka ʻole o kahi patch a i ʻole update.
CVE-2026-45252 — ʻaʻohe nānā no kahi null hoʻopau ma mua o ke kope ʻana i kahi kaula i loaʻa mai ka fuse daemon i kahi buffer hou. Eia nō naʻe, aia kahi nānā no ka nui o ke kope, a ʻaʻole hiki ke heluhelu ma mua o 253 mau bytes keu mai ka hoʻomanaʻo kernel. Hiki nō hoʻi ke kākau a hiki i 250 bytes i ka "unallocated kernel heap space." Ma ka paʻamau, pale ʻo FreeBSD i nā mea hoʻohana ʻaʻole root mai ka hoʻouka ʻana i nā ʻōnaehana faila, ʻo ia hoʻi, ʻo ka hoʻokomo ʻana i kahi fuse daemon ʻino i loko o ka kernel e pono ai ke komo root. Eia nō naʻe, inā sysctl vfs.usermount=1 , lilo ka ʻōnaehana i mea palupalu i nā mea hoʻohana maʻamau. He mea kūpono hoʻi ke noʻonoʻo i ka pōʻino o ka fuse daemon i loko o ka hale paʻahao, kahi e hiki ai ke root (ʻoiai ua pāpā ʻia kēia ma ka paʻamau).
CVE-2026-45253 — I ka wā e hoʻohana ai i ka ptrace, ua hiki ke hoʻomaka i kahi kāhea ʻōnaehana me kahi helu hewa i loko o kahi kaʻina hana debugged, e alakaʻi ana i ka hoʻokō ʻana o ke code kernel i manaʻo ʻole ʻia e hoʻokō ʻia ma ke ʻano he kāhea ʻōnaehana, me nā hopena pōʻino. Inā hoʻonohonoho ʻia ʻo security.bsd.unprivileged_proc_debug=0 (he hana maikaʻi ia no nā kikowaena, a hāʻawi pū ka mea hoʻonoho ʻōnaehana i kēia koho), ʻaʻole hiki i nā mea hoʻohana a me nā kaʻina hana jailed ke hoʻohana i ka ptrace, e waiho ana i ka nāwaliwali i hiki ke komo wale ʻia e ke aʻa.
CVE-2026-45255 — Ke hoʻokomo nei i nā kauoha shell me nā kuleana aʻa i loko o bsdinstall/bsdconfig ma o nā inoa o nā pūnaewele uea ʻino i nānā ʻole ʻia i ka wā e nānā ana i kā lākou papa inoa. I mea e pale aku ai i kēia nāwaliwali, e pale wale i ka nānā ʻana i ka papa inoa pūnaewele uea ʻole mai bsdinstall/bsdconfig.
CVE-2026-39461, CVE-2026-45254 — nā nāwaliwali i loko o ka waihona puke libcasper (ʻaʻole i loko o ka kernel). Ua hoʻolālā ʻia ka waihona puke no ka hoʻolako palekana a hiki ke hoʻonohonoho ʻia o nā lawelawe i nā kaʻina hana sandboxed. ʻO kekahi nāwaliwali e pili ana i ka stack overflow a me ka stack corruption ma muli o ka hoʻonohonoho ʻana o ka waihona puke i nā helu wehewehe faila nui (ua hoʻolālā ʻia no nā helu a hiki i ka 1024, ka palena paʻamau no nā ʻano no ka syscall koho). ʻO ka lua o ka nāwaliwali ka hiki ke wehe i nā papa inoa i kau ʻia o nā kapu (ʻo ke akeakamai o ka waihona puke ʻo nā kapu i kau ʻia ma kahi kaʻina hana hiki ke ikaika wale nō) cap_net.
ʻO nā mana i hoʻopili ʻia o ka ʻōnaehana i helu ʻia: 14.3-RELEASE-p14, 14.4-RELEASE-p5, a me 15.0-RELEASE-p9. He mea kūpono hoʻi ke hoʻomaopopo ʻana i kahi mea nui no kekahi: Ua hoʻopau koke ʻia ʻo FreeBSD 13.5—ʻApelila 30, 2026—a ʻaʻohe hoʻoponopono kūhelu no ia (a no ka lālā 13.x ma ke ʻano laulā). Eia nō naʻe, inā no kekahi kumu ʻaʻole ʻoe makemake e wikiwiki e hoʻonui i ka hoʻokuʻu ʻana o 14.x, pili nā hoʻopili no 14.3 i ke code kumu 13.5, a ʻaʻohe pili o CVE-2026-45250 no ka lālā 13.x ma muli o ka nele o setcred().
Source: linux.org.ru
