Op 20 mei 2026 kondigden de FreeBSD-ontwikkelaars patches aan voor zeven nieuwe kwetsbaarheden in het systeem. Niet alle kwetsbaarheden zijn even gevaarlijk, maar sommige zijn ronduit ernstig.
CVE-2026-45251 — gebruik na vrijgave in select-achtige systeemaanroepen als hun wachtlijst procesbeschrijvingen bevat (in FreeBSD 15 zijn er ook nieuwe jail-beschrijvingen), en deze beschrijvingen in een andere thread zijn gesloten terwijl de wachtende systeemaanroep nog steeds wachtte. Afgaande op deze commitOok beschrijvingen gerelateerd aan netmap (de netwerkadapterdriver voor versnelde directe toegang) zijn getroffen, maar hierover bestaat geen officiële informatie. Procesbeschrijvingen werden geïntroduceerd in FreeBSD 9, dus de kwetsbaarheid bestaat waarschijnlijk al sinds die tijd. De officiële verklaring stelt dat de kwetsbaarheid het mogelijk maakt om supergebruikersrechten te verkrijgen. Er is geen manier om dit te verhelpen zonder een patch of update.
CVE-2026-45250 — een onjuiste berekening van de buffergrootte en een daaropvolgende schrijfbewerking naar de stack in de systeemoproep `setcred`. Hoewel `setcred` zelf rootrechten vereist, treedt de stackcorruptie op voordat de rechten worden gecontroleerd en is deze dus voor iedereen toegankelijk. Deze systeemoproep werd geïntroduceerd in FreeBSD 14.3 (wat betekent dat eerdere versies niet worden beïnvloed) en biedt een manier om alle gebruikers- en groeps-ID's van het huidige proces in één keer in te stellen, in plaats van `setuid+setgid+setgroups` en soortgelijke combinaties te gebruiken. De kwetsbaarheid maakt het mogelijk om kwaadwillende code uit te voeren in de kernelcontext. Er is geen manier om dit te verhelpen zonder een patch of update.
CVE-2026-45252 — Er wordt niet gecontroleerd op een afsluitende null-waarde voordat een string die van de fuse-daemon is ontvangen, naar een nieuwe buffer wordt gekopieerd. Er wordt echter wel gecontroleerd op de maximale kopieergrootte, en het is onmogelijk om meer dan 253 extra bytes uit het kernelgeheugen te lezen. Het is ook mogelijk om tot 250 bytes naar "niet-toegewezen kernel-heapruimte" te schrijven. Standaard voorkomt FreeBSD dat niet-rootgebruikers bestandssystemen kunnen mounten, wat betekent dat het installeren van een kwaadaardige fuse-daemon in de kernel root-toegang vereist. Als echter sysctl vfs.usermount=1 wordt ingesteld, wordt het systeem ook kwetsbaar voor gewone gebruikers. Het is ook de moeite waard om het gevaar van de fuse-daemon in een jail te overwegen, waar deze root-rechten kan hebben (hoewel dit standaard ook verboden is).
CVE-2026-45253 — Bij gebruik van ptrace was het mogelijk om in een gedebugd proces een systeemoproep met een onjuist nummer te starten, wat leidde tot de uitvoering van kernelcode die niet bedoeld was om als systeemoproep te worden uitgevoerd, met potentieel rampzalige gevolgen. Als security.bsd.unprivileged_proc_debug=0 is ingesteld (wat sowieso een goede gewoonte is voor servers, en de systeeminstaller biedt deze optie zelfs aan), kunnen gebruikers- en geblokkeerde processen geen gebruik maken van ptrace, waardoor de kwetsbaarheid alleen toegankelijk is voor root.
CVE-2026-45255 — Het injecteren van shell-opdrachten met root-rechten in bsdinstall/bsdconfig via de namen van kwaadwillende draadloze netwerken die niet werden gecontroleerd bij het bekijken van de lijst. Om deze kwetsbaarheid te voorkomen, hoeft u alleen maar de lijst met draadloze netwerken van bsdinstall/bsdconfig niet te bekijken.
CVE-2026-39461, CVE-2026-45254 — kwetsbaarheden in de libcasper-bibliotheek (niet in de kernel). De bibliotheek is ontworpen voor het veilig en configureerbaar leveren van services aan processen in een sandbox. Eén kwetsbaarheid heeft betrekking op een stack-overflow en stackcorruptie als gevolg van de manier waarop de bibliotheek grote aantallen bestandsdescriptors organiseert (de bibliotheek is ontworpen voor aantallen tot 1024, de standaardlimiet voor structuren voor de select-systeemoproep). De tweede kwetsbaarheid is de mogelijkheid om opgelegde lijsten met beperkingen te verwijderen (de filosofie van de bibliotheek is dat beperkingen die eenmaal aan een proces zijn opgelegd, alleen maar strenger kunnen worden) cap_net.
De gepatchte versies van het systeem zijn genummerd: 14.3-RELEASE-p14, 14.4-RELEASE-p5 en 15.0-RELEASE-p9. Het is ook belangrijk om te weten dat FreeBSD 13.5 onlangs is stopgezet (30 april 2026) en dat er geen officiële patches meer voor beschikbaar zijn (of voor de 13.x-tak in het algemeen). Mocht u echter om welke reden dan ook niet direct willen upgraden naar de 14.x-versie, dan zijn de patches voor 14.3 over het algemeen ook van toepassing op de broncode van 13.5, en is CVE-2026-45250 niet relevant voor de 13.x-tak vanwege het ontbreken van de functie setcred().
Bron: linux.org.ru
