Dina saringan pakét ipfw dua kerentanan dina kode parsing pilihan TCP, disababkeun ku verifikasi data lepat dina pakét jaringan olahan. Kerentanan kahiji (CVE-2019-5614) nalika ngolah pakét TCP ku cara anu tangtu tiasa nyababkeun aksés kana mémori di luar panyangga mbuf anu dialokasikeun, sareng anu kadua (CVE-2019-15874) tiasa nyababkeun aksés ka daérah mémori anu parantos dibébaskeun ( pamakéan-sanggeus-gratis).
Analisis kasesuaian masalah anu diidentifikasi pikeun eksploitasi anu tiasa memicu palaksanaan kode panyerang teu acan dilaksanakeun, tapi kamungkinan kerentanan henteu dugi ka nyababkeun kacilakaan kernel. Masalahna dibereskeun dina apdet FreeBSD 11.3-RELEASE-p8 sareng 12.1-RELEASE-p4 (perbaikan dilakukeun ka cabang stabil dina bulan Désémber taun ka tukang, tapi kanyataan yén perbaikan ieu aya hubunganana sareng ngaleungitkeun kerentanan janten dipikanyaho ayeuna) .
sumber: opennet.ru