Дар FreeBSD осебпазирие (CVE-2026-7270) ошкор карда шуд, ки ба корбари беимтиёз имкон медиҳад, ки рамзи ядроро иҷро кунад ва дастрасии root-ро ба система ба даст орад. Ин осебпазирӣ ба ҳамаи версияҳои FreeBSD, ки аз соли 2013 инҷониб бароварда шудаанд, таъсир мерасонад. Як эксплойт дастраси умум буд ва дар системаҳое, ки FreeBSD 11.0 то 14.4 кор мекунанд, санҷида шудааст. Ин осебпазирӣ дар FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 ва 13.5-RELEASE-p13 ислоҳ карда шуд. Барои версияҳои кӯҳнатар патч дастрас аст.
Мушкилот аз сабаби аз ҳад зиёд пур шудани буфер дар даъвати системаи execve ба вуҷуд омадааст. Ин ҳангоми коркарди префикси дар сатри аввали скриптҳо муайяншуда барои муайян кардани роҳ ба тафсиргар (масалан, "#!/bin/sh") рух медиҳад. Аз ҳад зиёд пур шудан ҳангоми даъват ба функсияи memmove аз сабаби ифодаи нодурусти математикӣ барои ҳисоб кардани андозаи аргументҳои нусхабардорӣшуда ба буфер рух медиҳад. Ба ҷои тарҳ кардани арзишҳои "args->begin_argv" ва "consume" аз "args->endp", танҳо арзиши "args->begin_argv" аз "args->endp" тарҳ карда шуд ва ба ҷои тарҳ кардани тағирёбандаи "consume" ба натиҷа илова карда шуд, яъне дар натиҷа, маълумоти бештар аз ҷониби ду арзиши "consume" нусхабардорӣ карда шуд. memmove(args->begin_argv + extend, args->begin_argv + consume, - args->endp - args->begin_argv + consume); + args->endp — (args->begin_argv + consume));
Ин пурборшавӣ имкон медиҳад, ки унсурҳои сохтори "exec_map", ки дар хотираи ҳамшафат аз раванди дигар ҷудо карда шудаанд, аз нав навишта шаванд. Эксплойт аз пурборшавӣ барои аз нав навиштани мундариҷаи "exec_map"-и равандҳои имтиёзнок, ки давра ба давра дар система оғоз мешаванд, истифода мебарад. Раванди интихобшуда sshd аст, ки ҳар дафъае, ки пайвасти шабакавӣ барқарор мешавад, раванди "/usr/libexec/sshd-session"-ро бо имтиёзҳои root ҷудо мекунад ва иҷро мекунад.
Эксплойт барои ин раванд тағйирёбандаи муҳити "LD_PRELOAD=/tmp/evil.so"-ро иваз мекунад, ки боиси бор шудани китобхонаи он дар контексти sshd-session мегардад. Китобхонаи воридшуда файли иҷрошавандаеро бо номи /tmp/rootsh дар системаи файлӣ бо парчами решаи suid эҷод мекунад. Сатҳи муваффақияти эксплойт 0.6% арзёбӣ мешавад, аммо ба шарофати такрори даврӣ, истифодаи муваффақ тақрибан дар 6 сония дар система бо CPU-и 4-аслӣ ба даст меояд.
Илова бар ин, якчанд осебпазириҳои дигар дар FreeBSD ислоҳ карда шуданд:
- CVE-2026-35547 ва CVE-2026-39457 пуршавии буфер дар китобхонаи libnv мебошанд, ки дар ядро ва барномаҳои системаи асосӣ барои коркарди рӯйхатҳои калид/арзиш ва коркарди муоширати байни равандҳо истифода мешаванд. Мушкилоти аввал аз ҳисоби нодуруст ҳисоб кардани андозаи паём ҳангоми коркарди сарлавҳаҳои паёмҳои IPC, ки махсус таҳия шудаанд, ба вуҷуд меояд. Мушкилоти дуюм боиси пуршавии стек ҳангоми муоширати сокет мегардад, зеро санҷишҳо барои мувофиқат кардани андозаи тавсифкунандаи сокет бо андозаи буфере, ки дар функсияи select() истифода мешавад, гузаронида нашудаанд. Ин осебпазириҳо метавонанд барои баланд бардоштани имтиёзҳо истифода шаванд.
- CVE-2026-42512 як пуршавии буфери аз фосилаи дур истифодашаванда дар dhclient аст, ки аз ҳисоби нодурусти андозаи массиви нишондиҳанда, ки барои интиқоли тағирёбандаҳои муҳит ба dhclient-script истифода мешавад, ба вуҷуд меояд. Бо фиристодани бастаи махсуси DHCP сохташуда, барои иҷрои коди дурдаст эксплойт эҷод кардан мумкин аст.
- CVE-2026-7164 – Ҳангоми коркарди бастаҳои махсуси SCTP, осебпазирии аз ҳад зиёд пур шудани стек дар филтри бастаҳои pf ба вуҷуд меояд. Ин мушкилот аз сабаби таҷзияи бемаҳдуди рекурсивии параметрҳои SCTP ба вуҷуд омадааст.
- CVE-2026-42511 – Имкон дорад, ки дастурҳои худсаронаро ба dhclient.conf ворид кунед, зеро аз сабаби нокомии фирори қавсҳои дугона дар майдонҳои BOOTP, ки аз сервери берунаи DHCP гирифта шудаанд, истифода бурдан мумкин аст. Вақте ки раванди dhclient баъдан ин файлро таҳлил мекунад, майдони муайяншудаи ҳамлагар ба dhclient-script интиқол дода мешавад, ки онро барои иҷрои фармонҳои худсарона бо имтиёзҳои root дар системаҳое, ки dhclient-ро иҷро мекунанд, ҳангоми дастрасӣ ба сервери DHCP, ки аз ҷониби ҳамлагар идора мешавад, истифода бурдан мумкин аст.
- CVE-2026-6386 — Коркарди нокифояи саҳифаҳои хотираи калон дар функсияи ядрои pmap_pkru_update_range(). Корбари беимтиёз метавонад боис шавад, ки pmap_pkru_update_range() хотираи фазои корбарро ҳамчун саҳифа дар ҷадвали саҳифаи хотира коркард кунад ва бо ин васила минтақаи хотираи беиҷозатро аз нав нависад.
- CVE-2026-5398 - Истинод ба минтақаи хотираи қаблан озодшуда дар коркардкунандаи TIOCNOTTY ба раванди беимтиёз имкон медиҳад, ки имтиёзҳои решаро ба даст орад.
Манбаъ: opennet.ru
