Er is een kritieke kwetsbaarheid (CVE-2024-29937) geïdentificeerd in de implementatie van de NFS-server die wordt gebruikt op BSD-systemen, waardoor het op afstand uitvoeren van uw code met rootrechten op de server mogelijk is. Het probleem doet zich voor in alle releases van OpenBSD en FreeBSD, tot OpenBSD 7.4 en FreeBSD 14.0-RELEASE. Gedetailleerde informatie over de kwetsbaarheid is nog niet bekendgemaakt, alleen dat het probleem wordt veroorzaakt door een logische fout die geen verband houdt met geheugenbeschadiging. Opgemerkt wordt dat de kwetsbaarheid gemakkelijk kan worden uitgebuit en gebruikt om systemen aan te vallen die NFS gebruiken, maar afgaande op de videodemonstratie geeft de kwetsbaarheid u volledige toegang tot de root-FS van de server en zijn rechten vereist om NFS-partities te mounten voor exploitatie . Op 18 april wordt tijdens de T2'24-conferentie een rapport over de essentie van de kwetsbaarheid aangeboden.
Bron: opennet.ru