Egy sebezhetőséget (CVE-2026-7270) fedeztek fel a FreeBSD-ben, amely lehetővé teszi egy jogosulatlan felhasználó számára, hogy kernel kódot futtasson és root hozzáférést szerezzen a rendszerhez. A sebezhetőség az összes 2013 óta kiadott FreeBSD kiadást érinti. Egy nyilvánosan elérhető kihasználási lehetőség, amelyet a FreeBSD 11.0 és 14.4 között futó rendszereken teszteltek. A sebezhetőséget a FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 és 13.5-RELEASE-p13 verziókban javították. A régebbi kiadásokhoz javítás érhető el.
A problémát egy puffer túlcsordulás okozza az execve rendszerhívásban. Ez akkor fordul elő, amikor a szkriptek első sorában megadott előtagot dolgozzuk fel az interpreter elérési útjának meghatározásához (például "#!/bin/sh"). A túlcsordulás a memmove függvény hívása során történik a pufferbe másolt argumentumok méretének kiszámításához használt helytelenül konstruált matematikai kifejezés miatt. Ahelyett, hogy az "args->begin_argv" és a "consume" értékeket kivontuk volna az "args->endp" értékből, csak az "args->begin_argv" értékét vontuk ki az "args->endp" értékből, és a "consume" változót hozzáadtuk az eredményhez, a kivonás helyett, azaz ennek eredményeként a "consume" két értékével több adatot másoltunk. memmove(args->begin_argv + extend, args->begin_argv + consume, - args->endp - args->begin_argv + consume); + args->endp — (args->begin_argv + consume));
A túlcsordulás lehetővé teszi az "exec_map" struktúra elemeinek felülírását egy másik folyamat által a szomszédos memóriában lefoglalt módon. A sebezhetőség kihasználása a túlcsordulást használja a rendszeren időszakosan elindított privilegizált folyamatok "exec_map" tartalmának felülírására. A kiválasztott folyamat az sshd, amely minden alkalommal, amikor hálózati kapcsolat jön létre, elágazza és root jogosultságokkal végrehajtja az "/usr/libexec/sshd-session" folyamatot.
A sérülékeny támadás az "LD_PRELOAD=/tmp/evil.so" környezeti változót helyettesíti be erre a folyamatra, aminek következtében a saját könyvtára az sshd-session kontextusban töltődik be. A befecskendezett könyvtár egy /tmp/rootsh nevű futtatható fájlt hoz létre a fájlrendszerben a suid root flaggel. A sérülékeny támadás sikerességi aránya becslések szerint 0.6%, de a ciklikus újrapróbálkozásoknak köszönhetően a sikeres kihasználás körülbelül 6 másodperc alatt megtörténik egy 4 magos CPU-val rendelkező rendszeren.
Ezenkívül további sebezhetőségeket javítottak a FreeBSD-ben:
- A CVE-2026-35547 és a CVE-2026-39457 puffer túlcsordulásokat okoznak a libnv könyvtárban, amelyet a kernel és az alaprendszer-alkalmazások használnak a kulcs/érték listák feldolgozására és a folyamatok közötti kommunikáció kezelésére. Az első problémát az üzenetméret helytelen kiszámítása okozza a speciálisan létrehozott IPC üzenetfejlécek feldolgozásakor. A második probléma verem túlcsordulást eredményez a socket kommunikáció során, mivel nincsenek ellenőrzések annak biztosítására, hogy a socket leíró mérete megegyezzen a select() függvényben használt puffermérettel. Ezeket a sebezhetőségeket potenciálisan kihasználhatják a jogosultságok eszkalálására.
- A CVE-2026-42512 egy távolról kihasználható puffer túlcsordulásos hiba a dhclientben, amelyet a dhclient-scriptnek átadott környezeti változók mutatótömbjének méretének helytelen kiszámítása okoz. Egy speciálisan létrehozott DHCP-csomag küldésével távoli kódfuttatást lehetővé tevő sérülékenység hozható létre.
- CVE-2026-7164 – A pf csomagszűrőben egy verem túlcsordulásos sebezhetőség keletkezik speciálisan létrehozott SCTP csomagok feldolgozásakor. A problémát az SCTP paraméterek korlátlan rekurzív elemzése okozza.
- CVE-2026-42511 – Tetszőleges direktívák beszúrása lehetséges a dhclient.conf fájlba a külső DHCP-kiszolgálótól kapott BOOTP-mezőkben található dupla zárójelek nem megfelelő feloldása miatt. Amikor a dhclient folyamat ezt követően elemzi ezt a fájlt, a támadó által megadott mező átadódik a dhclient-scriptnek, amely root jogosultságokkal tetszőleges parancsok végrehajtására használható a dhclient-et futtató rendszereken, amikor a támadó által ellenőrzött DHCP-kiszolgálóhoz férünk hozzá.
- CVE-2026-6386 — A nagy memórialapok elégtelen kezelése a pmap_pkru_update_range() kernelfüggvényben. Egy nem privilégiumozott felhasználó hatására a pmap_pkru_update_range() a felhasználói tárhelyen lévő memóriát a memórialapok táblázatában lévő lapként kezelheti, ezáltal felülírva egy jogosulatlan memóriaterületet.
- CVE-2026-5398 - A TIOCNOTTY kezelőben egy korábban felszabadított memóriaterületre való hivatkozás lehetővé teszi egy nem privilégiumozott folyamat számára, hogy root jogosultságokat szerezzen.
Forrás: opennet.ru
