The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD

09.05.2026 10:28 (MSK)

Во FreeBSD выявлена уязвимость (CVE-2026-7270), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость затрагивает все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён эксплоит, работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать патч.

Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, "#!/bin/sh"). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер аргументов. Вместо вычитания из "args->endp" значений "args->begin_argv" и "consume", из "args->endp" вычиталось только значение "args->begin_argv", а переменная consume прибавлялась к результату, а не вычиталась, т.е. в результате копировалось больше данных на два значения "consume". 


	memmove(args->begin_argv + extend, args->begin_argv + consume,
-	    args->endp - args->begin_argv + consume);
+	    args->endp - (args->begin_argv + consume));

Переполнение позволяет перезаписать размещаемые в соседней области памяти элементы структуры "exec_map" от другого процесса. В эксплоите переполнение задействовано для перезаписи содержимого "exec_map" периодически запускаемых в системе привилегированных процессов. В качестве подобного процесса выбран sshd, который при каждой установке сетевого соединения ответвляет через вызов fork и execve процесс "/usr/libexec/sshd-session" с правами root.

Эксплоит подставляет для данного процесса переменную окружения "LD_PRELOAD=/tmp/evil.so", приводящую к загрузке в контексте sshd-session своей библиотеки. Подставляемая библиотека создаёт в файловой системе исполняемый файл /tmp/rootsh с флагом suid root. Вероятность успешного переполнения оценивается в 0.6%, но благодаря цикличному повтору попыток, успешная эксплуатация достигается примерно за 6 секунд на системе с 4-ядерным CPU.

Кроме того, во FreeBSD устранено ещё несколько уязвимостей:

  • CVE-2026-35547, CVE-2026-39457 - переполнения буфера в библиотеке libnv, используемой в ядре и в приложениях из базовой системы для обработки списков в формате ключ/значение и для организации передачи данных при межпроцессном взаимодействии. Первая проблема вызвана неверным вычислением размера сообщения при обработке специально оформленных заголовков IPC-сообщений. Вторая проблема приводит к переполнению стека при обмене данных через сокет из-за отсутствия проверки соответствия размера дескриптора сокета размеру буфера, используемому в функции select(). Потенциально уязвимости могут использоваться для повышения своих привилегий в системе.
  • CVE-2026-42512 - удалённо эксплуатируемое переполнение буфера в dhclient, возникающее из-за некорректного вычисления размера массива указателей, используемого для передачи переменных окружения в dhclient-script. Не исключается возможность создания эксплоита для удалённого выполнения кода через отправку специально оформленного DHCP-пакета.
  • CVE-2026-7164 - переполнение стека в пакетном фильтре pf, возникающее при обработке специально оформленных пакетов SCTP. Проблема вызвана неограниченным рекурсивным разбором параметров SCTP.
  • CVE-2026-42511 - возможность подстановки в dhclient.conf произвольных директив из-за отсутствия должного экранирования двойных скобок в BOOTP полях, получаемых от внешнего DHCP-сервера. При последующем разборе данного файла процессом dhclient, указанное атакующим поле передаётся в dhclient-script, что может использоваться для выполнения произвольных команд с правами root на системах, использующих dhclient, при обращении к подконтрольному атакующему DHCP-серверу.
  • CVE-2026-6386 - отсутствие должной обработки больших страниц памяти в функции ядра pmap_pkru_update_range(). Непривилегированный пользователь, может заставить pmap_pkru_update_range() обработать память из пространства пользователя как страницу в таблице страниц памяти, и добиться перезаписи области памяти, к которой нет доступа.
  • CVE-2026-5398 - обращение к уже освобождённой области памяти в обработчике TIOCNOTTY, позволяющее непривилегированному процессу получить права root.


  1. Главная ссылка к новости (https://blog.calif.io/p/cve-20...)
  2. OpenNews: Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs
  3. OpenNews: Удалённая root-уязвимость в обработчике автоконфигурации IPv6 во FreeBSD
  4. OpenNews: Уязвимость в libnv во FreeBSD и уязвимости в Netfilter в Linux
  5. OpenNews: Уязвимости во FreeBSD, позволяющие повысить свои привилегии или обойти изоляцию гостевой системы
  6. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/65408-freebsd
Ключевые слова: freebsd, root
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (31) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, localhostadmin (ok), 11:04, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    > Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13

    Почему так в дистрах линукса работать не могут?

     
     
  • 2.2, Аноним (2), 11:05, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    В каких именно?
     
     
  • 3.3, localhostadmin (ok), 11:11, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Да в той же убунте
     
     
  • 4.8, Аноним (8), 11:22, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Убунта не дистр, а скорее винда в мире линукс
     
     
  • 5.20, freehck (ok), 12:58, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Убунта не дистр, а скорее винда в мире линукс

    Не знаете мемов, молодой человек. С федорой перепутали.

     
  • 4.10, Аноним (10), 11:27, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    В принципе, закономерный вопрос, Фряха -- это та же Убунта среди эксбздей. Но Убунта на самом деле используется много где и корпа умеет считать деньги.
     
     
  • 5.14, Аноним (14), 12:08, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Таки никто не обещает совместимости между видами *BSD, которая есть среди дистрибутивов линукс.
     
     
  • 6.21, Аноним (10), 13:19, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Она слишком теоретическая, имеется только у unix-дистрибутивов линукса. Но сами unix-системы при этом весьма специфические. А так у каждого поставщика свои костыли. У xbsd понятно нет таких забот, они не unix.
     
  • 6.30, Аноним (30), 14:52, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А там совместимость между ними была примерно до конца 90-х годов, потом кодовая база слишком разошлась.
    Да и не нужно особо, у них же цели сильно разнятся.
     
  • 4.29, Аноним (30), 14:49, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Проприетарный коммерческий дистр с поддержкой уровня "ешь, что дают".
     
  • 2.18, Аноним (18), 12:56, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Им не охото, они устали!
     
  • 2.24, Аноним (24), 14:11, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    А может в линуксе работают лучше?
     
  • 2.25, Аноним (30), 14:33, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому что это цельная ОС с консервативным сообществом/идеологией и ABICOMPAT в ядре.
     

  • 1.4, Аноним (4), 11:12, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    Мой любимый BSD был GhostBSD, но с какого то момента он просто стал вылетать при запуске. Последняя рабочая версия у меня 22.06.18. Пусть сначала пофиксят. Потом поговорим.
     
     
  • 2.15, Аноним (15), 12:38, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ставьте 15:
    https://www.freebsd.org/ru/
     

  • 1.5, Аноним (5), 11:15, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +11 +/
    > позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе.

    Кто в соседних темах злорадствовал?
    Получите и распишитесь.

    > Уязвимость затрагивает все выпуски FreeBSD, сформированные с 2013 года.

    Жирно!

    > Проблема вызвана переполнением буфера в системном вызове

    Академическое какчество кода (с)

     
     
  • 2.31, Аноним (31), 14:53, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Кто в соседних темах злорадствовал?

    Ждем комментарии главного эскперта по С Аноним83/Ivan_83 с его стандартным "никого же не взомали", "кому оно мешало?", "а вот в Расте...".

     

  • 1.7, Аноним (10), 11:20, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    На консолях работает? Вообще суидные процессы это прикольно, в линуксах давно стараются избавиться от них.
     
     
  • 2.9, Ы (?), 11:25, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Вообще суидные процессы это прикольно, в линуксах давно стараются избавиться от них.

    серьезно чтоли?

    Firejail is a lightweight security tool intended to protect a Linux system by setting up a restricted environment for running (potentially untrusted) applications.

    More specifically, it is an SUID sandbox program that reduces the risk of security breaches by using Linux namespaces, seccomp-bpf and Linux capabilities.

     
     
  • 3.11, Аноним (10), 11:31, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Дать суид песочнице в теории можно, но это лишнее. Суид хелпер можно и не использовать наверно? Я не проверял.
     

  • 1.13, Аноним (13), 11:39, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    >переменная consume прибавлялась к результату, а не вычиталась,

    Им надо язык учить, а не ядро писать. Что, скобки для слабаков?

     
     
  • 2.27, Аноним (27), 14:43, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Опечатки случаются. На проде до сих пор не выползало, вот и не чесались. Жил же годами линукс с багами типа "если много раз нажать клавишу, то попадаешь в рут в обход всех защит".
     

  • 1.22, Аноним (22), 13:45, 09/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –2 +/
     
  • 1.23, Аноним (23), 14:01, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > при обработке специально оформленных

    Печаль для любителей раста: если логика зависит от неизвестных и непрогнозируемых входных данных, то проверить их и обеспечить корректность можно только... во время исполнения. А все эти "на этапе компиляции" -- всего лишь предвыборная агитация мозилловского корпоративного депутата.

     
     
  • 2.34, Аноним (31), 15:14, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > для любителей раста

    В каждой неудобной ситуации с С сразу перепрыгивай на тему Раста. Старый, как мир, прием "соломенное чучело" для местной аудитории работает безотказно.

    >> при обработке специально оформленных
    > Печаль для любителей раста: если логика зависит от неизвестных и непрогнозируемых входных данных, то проверить их и обеспечить корректность можно только... во время исполнения. А все эти "на этапе компиляции" -- всего лишь предвыборная агитация мозилловского корпоративного депутата.

    А основной текст новости о записи за пределы буфера и перезаписью соседней памяти ты, конечно же, тактично проигнорировал. Ну, то самое, что Раст просто не дал бы тебе скомпилировать.

    > Печаль для любителей раста: если логика зависит от неизвестных и непрогнозируемых входных данных, то проверить их и обеспечить корректность можно только... во время исполнения

    Любители Раста как раз в курсе, что на этапе компиляции Раст гарантирует корректность работы с памятью, а не коректность рандомных данных, доступных только в рантайме.

    Поэтому печалит любителей Раста только уровень экспртизы и инфантилизма отдельных опеннетных компентаторов.

     

  • 1.26, bublick (ok), 14:35, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Кто нибудь еще пользуется FreeBSD для промышленного использования?
     
     
  • 2.28, Аноним (27), 14:46, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Видел, как пытались станки с винды перевести на нетку. Но готового драйвера на специфичное оборудование было только под винду, а свой драйвер написать нешмогли. Вернулись на винду.
     
     
  • 3.32, Аноним (32), 14:58, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Если не было самого основного - драйвера, как они без него пытались-то? :)
     
  • 2.33, Андрей (??), 15:12, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    500 маршрутизаторов, 50 виртуальныйх серверов, 20 физических серверов. Срок эксплуатации почти 25 лет.
     
     
  • 3.36, Tron is Whistling (?), 15:28, 09/05/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А у слона всё равно толще.
     

  • 1.35, Tron is Whistling (?), 15:27, 09/05/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вот классная ошибка.
    Всегда и всем на старте говорю: ИЗБЫТОЧНЫЕ СКОБКИ В ВЫРАЖЕНИЯХ - НЕ МЕШАЮТ. Записывайте порядок вычисления явно, не полагайтесь на ассоциативность операторов.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру