🥇फ्रीबीएसडी पर रूट एक्सेस प्रदान करने वाले execve सिस्टम कॉल में सुरक्षा खामी

FreeBSD में एक सुरक्षा खामी (CVE-2026-7270) पाई गई है, जिसके कारण एक गैर-विशेषाधिकार प्राप्त उपयोगकर्ता कर्नेल कोड को निष्पादित करके सिस्टम पर रूट एक्सेस प्राप्त कर सकता है। यह सुरक्षा खामी 2013 के बाद जारी किए गए सभी FreeBSD संस्करणों को प्रभावित करती है। इसका एक एक्सप्लॉइट सार्वजनिक रूप से उपलब्ध है और FreeBSD 11.0 से 14.4 तक के सिस्टम पर इसका परीक्षण किया गया है। इस सुरक्षा खामी को FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 और 13.5-RELEASE-p13 में ठीक कर दिया गया है। पुराने संस्करणों के लिए एक पैच उपलब्ध है।

यह समस्या execve सिस्टम कॉल में बफर ओवरफ़्लो के कारण होती है। यह तब होता है जब स्क्रिप्ट की पहली पंक्ति में निर्दिष्ट उपसर्ग (उदाहरण के लिए, "#!/bin/sh") को संसाधित करके इंटरप्रेटर का पथ निर्धारित किया जाता है। बफर में कॉपी किए गए आर्गुमेंट के आकार की गणना के लिए गलत तरीके से निर्मित गणितीय व्यंजक के कारण memmove फ़ंक्शन को कॉल करते समय ओवरफ़्लो होता है। "args->endp" से "args->begin_argv" और "consume" के मानों को घटाने के बजाय, केवल "args->begin_argv" का मान "args->endp" से घटाया गया, और परिणाम में "consume" चर को घटाए जाने के बजाय जोड़ा गया, यानी परिणामस्वरूप, "consume" के दो मानों द्वारा अधिक डेटा कॉपी किया गया। memmove(args->begin_argv + extend, args->begin_argv + consume, - args->endp - args->begin_argv + consume); + args->endp — (args->begin_argv + consume));

ओवरफ़्लो की मदद से किसी अन्य प्रोसेस द्वारा आसन्न मेमोरी में आवंटित "exec_map" संरचना के तत्वों को ओवरराइट किया जा सकता है। यह एक्सप्लॉइट सिस्टम पर समय-समय पर लॉन्च होने वाले विशेषाधिकार प्राप्त प्रोसेस के "exec_map" की सामग्री को ओवरराइट करने के लिए ओवरफ़्लो का उपयोग करता है। चुना गया प्रोसेस sshd है, जो हर बार नेटवर्क कनेक्शन स्थापित होने पर, रूट विशेषाधिकारों के साथ "/usr/libexec/sshd-session" प्रोसेस को फोर्क करता है और उसे एक्ज़ीक्यूट करता है।

यह एक्सप्लॉइट "LD_PRELOAD=/tmp/evil.so" एनवायरनमेंट वेरिएबल को इस प्रोसेस से बदल देता है, जिससे इसकी लाइब्रेरी sshd-सेशन कॉन्टेक्स्ट में लोड हो जाती है। इंजेक्ट की गई लाइब्रेरी फाइल सिस्टम में suid रूट फ्लैग के साथ /tmp/rootsh नाम की एक एग्जीक्यूटेबल फाइल बनाती है। इस एक्सप्लॉइट की सफलता दर लगभग 0.6% अनुमानित है, लेकिन चक्रीय पुनः प्रयास के कारण, 4-कोर CPU वाले सिस्टम पर लगभग 6 सेकंड में सफलतापूर्वक एक्सप्लॉइटेशन हासिल किया जा सकता है।

FreeBSD में रूट एक्सेस प्रदान करने वाले execve सिस्टम कॉल में सुरक्षा खामी

इसके अतिरिक्त, FreeBSD में कई और कमजोरियों को ठीक किया गया है:

CVE-2026-35547 और CVE-2026-39457 libnv लाइब्रेरी में बफर ओवरफ्लो से संबंधित हैं। इस लाइब्रेरी का उपयोग कर्नेल और बेस सिस्टम अनुप्रयोगों में कुंजी/मान सूचियों को संसाधित करने और अंतर-प्रक्रिया संचार को संभालने के लिए किया जाता है। पहली समस्या विशेष रूप से तैयार किए गए IPC संदेश हेडर को संसाधित करते समय संदेश के आकार की गलत गणना के कारण होती है। दूसरी समस्या सॉकेट संचार के दौरान स्टैक ओवरफ्लो का कारण बनती है, क्योंकि यह सुनिश्चित करने के लिए कोई जाँच नहीं की जाती है कि सॉकेट डिस्क्रिप्टर का आकार select() फ़ंक्शन में उपयोग किए गए बफर के आकार से मेल खाता हो। इन कमजोरियों का फायदा उठाकर विशेषाधिकारों को बढ़ाया जा सकता है।
CVE-2026-42512, dhclient में एक दूरस्थ रूप से शोषण योग्य बफर ओवरफ़्लो समस्या है, जो dhclient-script को पर्यावरण चर पास करने के लिए उपयोग किए जाने वाले पॉइंटर ऐरे के आकार की गलत गणना के कारण होती है। विशेष रूप से तैयार किए गए DHCP पैकेट को भेजकर दूरस्थ कोड निष्पादन के लिए एक एक्सप्लॉइट बनाना संभव है।
CVE-2026-7164 – विशेष रूप से तैयार किए गए SCTP पैकेटों को संसाधित करते समय pf पैकेट फ़िल्टर में स्टैक ओवरफ़्लो भेद्यता पाई जाती है। यह समस्या SCTP मापदंडों के असीमित पुनरावर्ती पार्सिंग के कारण होती है।
CVE-2026-42511 – बाहरी DHCP सर्वर से प्राप्त BOOTP फ़ील्ड में डबल ब्रैकेट को ठीक से एस्केप न करने के कारण dhclient.conf फ़ाइल में मनमानी निर्देश सम्मिलित करना संभव है। जब dhclient प्रक्रिया बाद में इस फ़ाइल को पार्स करती है, तो हमलावर द्वारा निर्दिष्ट फ़ील्ड dhclient-script को पास कर दिया जाता है, जिसका उपयोग हमलावर द्वारा नियंत्रित DHCP सर्वर तक पहुँचने पर dhclient चलाने वाले सिस्टम पर रूट विशेषाधिकारों के साथ मनमानी कमांड निष्पादित करने के लिए किया जा सकता है।
CVE-2026-6386 — pmap_pkru_update_range() कर्नेल फ़ंक्शन में बड़ी मेमोरी पेजों का अपर्याप्त प्रबंधन। एक विशेषाधिकारहीन उपयोगकर्ता pmap_pkru_update_range() को उपयोगकर्ता-स्थान मेमोरी को मेमोरी पेज तालिका में एक पेज के रूप में मानने के लिए प्रेरित कर सकता है, जिससे अनधिकृत मेमोरी क्षेत्र ओवरराइट हो सकता है।
CVE-2026-5398 - TIOCNOTTY हैंडलर में पहले से मुक्त किए गए मेमोरी क्षेत्र के संदर्भ से एक गैर-विशेषाधिकार प्राप्त प्रक्रिया को रूट विशेषाधिकार प्राप्त करने की अनुमति मिलती है।

स्रोत: opennet.ru

FreeBSD में रूट एक्सेस प्रदान करने वाले execve सिस्टम कॉल में सुरक्षा खामी