Die vergangene Woche gehörte FreeBSD: Mit dem Release von 15.1, einem massiven Security-Advisory-Batch, einem neuen AI-gestützten Schwachstellen-Projekt und dem End-of-Life für 14.3 gab es reichlich zu verarbeiten.

FreeBSD 15.1-RELEASE erschienen

Das wichtigste Ereignis der Woche: Am 16. Juni hat das Release Engineering Team FreeBSD 15.1-RELEASE veröffentlicht. Nachdem ein kritischer Bootloader-Bug auf x86-Systemen das Release um zwei Wochen verschoben hatte, ist die zweite Version des stable/15-Zweigs nun verfügbar.

Wichtigste Neuerungen in 15.1

WiFi-Treiber auf Linux-Kernel-7.0-Stand: Die LinuxKPI-basierten WLAN-Treiber (iwlwifi u.a.) wurden auf den Stand des Linux-Kernels 7.0 aktualisiert. Das bringt deutlich bessere Kompatibilität mit moderner WLAN-Hardware, insbesondere für Intel- und einige MediaTek/Realtek-Chipsätze.

C23-Unterstützung vorangeschritten: Der Compiler und die Standardbibliothek machen weitere Fortschritte bei der Umsetzung des C23-Standards.

Graphics-Treiber auf Linux 6.12 (LTS): Die FreeBSD Foundation hat zeitgleich zum Release bekanntgegeben, dass der drm-kmod-Port nun die Linux-6.12-Grafiktreiber enthält – ein LTS-Kernel, der bis 2036 gepflegt wird (CIP-Programm). Das verbessert die Kompatibilität mit aktuellen AMD-Radeon- und Intel-GPUs und bringt bessere Wayland-Unterstützung. Verfügbar ab FreeBSD 15.1.

Weitere Änderungen in 15.1:

• OpenPAM in ein separates FreeBSD-pam-Paket ausgelagert (pkgbase)
• Zstandard/zstd(1) in ein separates FreeBSD-zstd-Paket ausgelagert
• installworld/installkernel werden auf pkgbase-Systemen blockiert, um Inkonsistenzen vorzubeugen
• Standard-Shell für root und den freebsd-User in Release-Images ist nun sh(1) statt csh(1)
• find(1) unterstützt neue Primaries -xattr und -xattrname zur Suche nach Extended Attributes (gesponsert von Klara Systems)
• newfs(8) verbietet nun die gleichzeitige Nutzung von GEOM-Journaling und Soft Updates; neuer -u-Flag zum Deaktivieren von Soft Updates
• bectl(8) hat neuen -E-Flag für leere Boot Environments ohne Klonen
• zfs clone unterstützt -u zum Verhindern des automatischen Mounts
• ipfs(8) standardmäßig deaktiviert, Kernel-Support nun optional
• Neue Tastaturlayouts: us.intl.acc.kbd und Lenovo-Laptop-Keymap für vt(4)
• diff3(1) im Merge-Modus nun kompatibel zu GNU diff3
• pwd(1) folgt nun standardmäßig -L (logisch), POSIX-konform

Release-Informationen: freebsd.org/releases/15.1R

Neun Security Advisories auf einmal

Am 9. Juni – noch vor dem Release – hat das Security Team neun Advisories gleichzeitig veröffentlicht, darunter mehrere mit kritischen Auswirkungen:

Alle Advisories sind in 15.1-RELEASE gepatcht. Nutzer älterer Versionen sollten dringend aktualisieren.

AI-gestütztes Schwachstellen-Projekt gestartet

Die FreeBSD Foundation hat am 15. Juni das AI-assisted Vulnerability Discovery Project angekündigt. Finanziert mit 250.000 USD von der Alpha-Omega-Initiative der Linux Foundation (mit Mitteln von Anthropic, AWS, GitHub, Google, Microsoft und OpenAI) werden Mitglieder des FreeBSD Security Teams unter Zeitverträgen arbeiten, um mit Hilfe von KI-Modellen Schwachstellen proaktiv zu finden und zu beheben.

Kernpunkte:

• Fokus zunächst auf den Kernel, danach Userland und Ports
• KI wird nur zur Discovery und Analyse eingesetzt; Patches werden manuell erstellt
• Netflix, NetApp und Verisign unterstützen bei Testing und Validierung
• Das Projekt reagiert auf die stark gestiegene Zahl an KI-generierten Vulnerability-Reports

Zeitgleich veröffentlichte Praetorian (Sicherheitsfirma) einen ausführlichen Blogpost über ihre eigene Arbeit: Mit Claude Code (Opus 4.6) fanden sie innerhalb weniger Tage acht FreeBSD-Kernel-Schwachstellen, darunter CVE-2026-3038 (Stack-Overflow in route, bereits in SA-26:05.route gepatcht). Die anderen sieben werden noch bearbeitet. Der Blogpost beschreibt detailliert die Methodik – von der Quellcode-Analyse über Crash-Reproduktion bis hin zur Exploit-Entwicklung mit Jail-Escape.

FreeBSD 14.3 erreicht End-of-Life

Am 20. Juni hat das Security Team angekündigt, dass FreeBSD 14.3 am 30. Juni 2026 End-of-Life erreicht. Danach gibt es keine Sicherheitspatches mehr. Nutzer sollten auf 14.4 oder 15.1 aktualisieren. Der Zweig stable/14 wird noch bis November 2028 gepflegt.

Blog-Beiträge und Community

pkgbasify – Wie man elegant zu pkgbase wechselt: Dag-Erling Smørgrav (blog.des.no) beschreibt seinen eigenen Ansatz, FreeBSD-15.1-Systeme von Distribution-Sets auf pkgbase umzustellen – mit einem einzigen pkg install-Kommando. Er kritisiert dabei das offizielle pkgbasify-Skript der Foundation und bietet eine direktere Alternative. Wer schon immer mal pkgbase ausprobieren wollte, findet hier eine pragmatische Anleitung.

Native inotify in FreeBSD: Klara Systems veröffentlichte einen tiefgehenden Artikel über die Grenzen von EVFILT_VNODE/kqueue für Dateimonitoring und warum FreeBSD eine native inotify-Implementierung braucht. Das bestehende libinotify-Userspace-Wrapper leidet unter Race Conditions und Skalierbarkeitsproblemen – der Artikel erklärt die technischen Details und zeigt Lösungsvorschläge.

ZFS Vendor Import: Chris Longros berichtet, dass seine ZFS-Commits in den FreeBSD-Tree importiert wurden – ein kleiner, aber wichtiger Meilenstein für die kontinuierliche ZFS-Pflege.

Im Quellcode

Ausgewählte Commits der letzten Tage:

• FORTIFY_SOURCE-Overrides: Kevans implementiert per-File-Overrides für FORTIFY_SOURCE im Build-System – ein Schritt zu robusteren Buffer-Checks im Basissystem
• rename(2): Kostik Belousov verhindert, dass der Root-VNode eines gemounteten Filesystems umbenannt werden kann (Sicherheitsfix)
• renameat(2): Signal-Check bei Retry-Schleifen hinzugefügt
• NFS va_flags Fix: Korrektur für den Fall, dass va_flags gelöscht werden
• lsof: Fix für den Build auf 16-CURRENT (malloc.h-Konflikt)
• APEI: Mehr Informationen bei fatalen Hardware-Fehlern

Zusammenfassung

Die Woche war geprägt von FreeBSD 15.1 – einem Release, das spürbar an Laptop- und Desktop-Tauglichkeit gewinnt (WLAN, Grafik, besseres Suspend/Resume). Gleichzeitig zeigt die Flut an Security-Advisories und das neue AI-Vulnerability-Projekt, wie sehr sich die Bedrohungslage verändert: KI-Tools senken die Hemmschwelle für Schwachstellen-Findung drastisch, und FreeBSD rüstet auf. Wer noch auf 14.3 läuft, muss spätestens am 30. Juni handeln.

FreeBSD auf einem Laptop — für viele war das lange Zeit ein Witz. WLAN? Vielleicht. Grafiktreiber? Hoffentlich. Ruhezustand? Nein. Wer FreeBSD auf einem Laptop betreiben wollte, brauchte Geduld, Leidensfähigkeit und idealerweise Hardware, die zufällig kompatibel war.

Das FreeBSD Laptop-Projekt ändert das. Seit seinem Start im vierten Quartal 2024 arbeitet die FreeBSD Foundation systematisch daran, die Lücken zu schließen, die FreeBSD auf moderner Laptop-Hardware von einer frustrierenden Erfahrung zu einem produktiven Erlebnis machen. Mit einem Budget von über 750.000 USD allein für das erste volle Jahr und einem ähnlichen Investment für 2026 ist das kein Nebenprojekt mehr — es ist eine der größten gezielten Investitionen in die Desktop-Relevanz von FreeBSD.

Was 2025 erreicht wurde

Das erste volle Jahr des Projekts brachte messbare Fortschritte in allen Kernbereichen:

WLAN

FreeBSD 15.0 liefert WiFi 4 und WiFi 5 für Intel- und Realtek-Hardware. Der neue iwx(4)-Treiber bietet eine native Alternative zu iwlwifi(4) für neuere Intel-Chipsätze, und rtwn(4) unterstützt jetzt 802.11ac (VHT) für RTL8812A und RTL8821A. Die Arbeit an WiFi 6 läuft.

Grafik

Die Grafiktreiber wurden auf Linux 6.9 aktualisiert und sind in FreeBSD 15.0 verfügbar (über den drm-latest-kmod-Port). Linux 6.10 ist in Arbeit — und das ist die Mindestversion, die für das Framework Laptop 16″ mit AMD Ryzen AI 300 Serie benötigt wird.

Audio

Zwei neue Werkzeuge — sndctl(8) und mididump(1) — sowie Bugfixes und eine verbesserte automatische Sound-Umleitung für HDA-Soundkarten machen die Audioerfahrung auf Laptops spürbar besser.

Installer

FreeBSD 15.0 kann nun Firmware-Pakete direkt nach der Basisinstallation herunterladen. Und für FreeBSD 15.1 steht ein Meilenstein an: KDE Plasma als Installationsoption direkt im Installer. Statt nach der Installation mühsam einen Desktop aufzusetzen, wird man künftig beim Installieren einfach „KDE Desktop“ ankreuzen können.

Ruhezustand

Modern Standby (S0i3) soll in FreeBSD 15.1 verfügbar werden, Hibernate (S4) möglicherweise in 15.2. Für Laptop-Nutzer ist das entscheidend — ohne funktionierenden Schlafmodus ist ein Laptop nicht praktikabel.

Der Fahrplan für 2026

Die Roadmap für das laufende Jahr ist ambitioniert. Laut dem Phoronix-Bericht vom April 2026 arbeiten die Entwickler daran, die Linux-Grafiktreiber von Version 6.13 bis 6.18 LTS zu portieren. Wenn alles nach Plan läuft, könnte FreeBSD Ende 2026 auf dem Stand des aktuellen Linux-Kernels ~6.19 sein.

Besonders wichtig: Intel Xe-Treiber-Unterstützung. Intels neue Grafikarchitektur für Lunar Lake und Battlemage benötigt den Xe-Treiber, der auf FreeBSD noch nicht verfügbar ist. Ohne ihn sind aktuelle Intel-Laptops mit FreeBSD nicht nutzbar.

Weitere Ziele für 2026:

• S4 Hibernate — Vollständiger Ruhezustand mit Festplattenverschlüsselung
• WiFi 6 — Unterstützung für neuere Realtek- und Mediatek-Adapter
• USB4 und Thunderbolt — Für Docking-Stationen und externe GPUs
• HDMI-Verbesserungen — Zuverlässige externe Displays
• UVC-Webcam-Unterstützung — Videokonferenzen auf FreeBSD
• Bluetooth-Verbesserungen — Kopfhörer, Mäuse, Tastaturen

FreeBSD 15.1 und der KDE-Installer

Der KDE-Desktop-Installer ist der sichtbarste Meilenstein des Laptop-Projekts. Wenn ein neues FreeBSD-System installiert wird, kann man künftig direkt eine grafische Oberfläche mit auswählen — ähnlich wie bei Ubuntu oder Fedora.

Das Test-Setup umfasst bereits Intel- und AMD-Grafik sowie den generischen VESA-Treiber. Ein NVIDIA-Treiber-Auswahlmenü wurde kürzlich zum Installer hinzugefügt, was Desktop-Tests mit NVIDIA-Hardware ermöglicht. VirtualBox- und VMware-Kompatibilität sind als nächste Schritte geplant.

Das ist mehr als eine Bequemlichkeit. Es ist ein Signal: FreeBSD ist nicht mehr nur für Server und Nerd-Laptops. Es will ein Desktop-Betriebssystem sein, das man installieren und nutzen kann, ohne die Kommandozeile zu fürchten.

Unterstützte Hardware

Das Projekt veröffentlicht eine Liste unterstützter Laptops auf GitHub. Sie wächst kontinuierlich, und die Foundation bittet die Community aktiv um Testberichte und Feedback.

Warum das wichtig ist

Man könnte argumentieren, dass FreeBSD ein Server-Betriebssystem ist und Laptop-Unterstützung unnötig. Aber das ignoriert die Realität: Entwickler arbeiten auf Laptops. Administratoren brauchen portable Diagnose-Werkzeuge. Und jedes Betriebssystem, das auf dem Desktop nicht nutzbar ist, verliert Entwickler an die Konkurrenz.

Das Laptop-Projekt ist keine Spielerei. Es ist eine Investition in die Zukunft von FreeBSD als Plattform. Je mehr Menschen FreeBSD auf ihrem Laptop nutzen, desto mehr Entwickler werden es verbessern. Es ist ein positiver Kreislauf, der jetzt in Gang gekommen ist.

Quellen: – FreeBSD Foundation: FreeBSD Closes the Laptop Gap: Year One Project Update – Phoronix: FreeBSD Laptop Project Hopes To Port Newer Linux Graphics Drivers This Year – Phoronix: FreeBSD 15.1 Aims To Have KDE Desktop Installer Option – GitHub: FreeBSDFoundation/proj-laptop

Diese Woche war eine der security-intensivsten Wochen in der jüngeren FreeBSD-Geschichte. Zwischen KI-entdeckten Schwachstellen, einem neuen Release-Kandidaten und der Executive Directorin, die FreeBSD auf einem Laptop daily-drived, gab es viel zu besprechen.

FreeBSD 15.1-RC1 veröffentlicht

Am 29. Mai veröffentlichte Colin Percival den ersten Release-Kandidaten für FreeBSD 15.1. Der RC1 enthält eine Reihe von Security-Fixes (dazu unten mehr), Verbesserungen am fwget-Firmware-Tool sowie kleinere Kernel-Bugfixes und Manpage-Updates.

Die 15.1-RELEASE ist für Juni geplant, vorausgesetzt, es tauchen keine weiteren Überraschungen auf. Bisher lief der Release-Zyklus relativ glatt: BETA1 kam am 2. Mai, und der RC1 ist der bisher letzte Meilenstein.

Download: https://download.freebsd.org/releases/ISO-IMAGES/15.1/

Sicherheitsadvisories: Der Mai 2026 Batch

Am 20. Mai veröffentlichte FreeBSD sieben Security-Advisories auf einen Schlag — genug, um selbst erfahrene Operatoren ins Schwitzen zu bringen. Xiujun Ma hat eine hervorragende Triage-Anleitung veröffentlicht, die ich jedem Administrator empfehle.

Die beiden kritischsten:

SA-26:18.setcred — Kernel-Level RCE

Die setcred(2)-Systemfunktion kopiert eine benutzerdefinierte Liste ergänzender Gruppen in einen Kernel-Stack-Buffer fester Größe — ohne die Länge zu prüfen. Das Ergebnis: Ein Stack-Overflow im Kernel, der beliebige Codeausführung auf Kernelebene ermöglicht. Jeder lokale Nutzer kann das ausnutzen, keine spezielle Konfiguration nötig, alle unterstützten FreeBSD-Versionen betroffen. Sofort patchen.

SA-26:21.ptrace — Lokale Privilegieneskalation (CVE-2026-45253)

Fehlende Parametervalidierung in der PT_SC_REMOTE-ptrace-Operation ermöglicht es unprivilegierten lokalen Nutzern, beliebige Systemaufrufe innerhalb eines Zielprozesses auszuführen. Lokal → Root. Auf Multi-User-Systemen und Jail-Hosts ebenfalls sofort patchen.

Die weiteren fünf Advisories:

KI-entdeckte Schwachstellen: Calif.io und AISLE

Das ist die große Geschichte dieser Woche: KI-Systeme finden jetzt aktiv FreeBSD-Kernel-Bugs.

Calif.io — „An AI Audit of FreeBSD“

Das Sicherheitsforschungsunternehmen Calif.io hat einen ausführlichen Blogpost veröffentlicht, der ihre KI-gestützte Audit des FreeBSD-Kernels beschreibt. In wenigen Wochen fand die KI:

• 5 lokale Privilegieneskalationen
• 1 bhyve Guest-to-Host-Escape
• Eine Handvoll Memory Disclosures und DoS-Bugs

Insgesamt 15 Kernel-Bugs, alle an das FreeBSD-Security-Team gemeldet. Bemerkenswert ist der Ansatz: Calif.io hat sich mit dem FreeBSD-Team abgestimmt, sich auf deren Prioritäten fokussiert und nur High/Critical-Bugs gemeldet — keine CVE-Jagd, sondern gezielte Hilfe.

Zu den veröffentlichten Exploits gehört setcred (CVE-2026-45250): Ein Ein-Zeichen-sizeof-Fehler in kern_setcred_copyin_supp_groups wird zu einem Stack-Overflow, der zu einer lokalen Root-Shell führt. Nur FreeBSD 14.4 ist ausnutzbar, obwohl der gleiche Bug in 14.3 und 15.0 vorhanden ist.

AISLE — Autonome Schwachstellenforschung

Das AISLE Research Team hat ebenfalls zugeschlagen. Am 25. Mai veröffentlichten sie einen Bericht über drei Stack-Buffer-Overflows in ping6, libnv und libcasper — alle über denselben grundlegenden Mechanismus erreichbar: FD_SET()mit Filedeskriptoren >1023.

Der ping6-Bug ist besonders pikant: Das Binary läuft setuid-root, also kann jeder lokale Nutzer den Schwachstellenpfad in einem Prozess mit effektiver UID 0 triggern. Ironischerweise hatte FreeBSD genau diese Fehlerklasse 2002 schon einmal in verwandtem Code behoben — die Schutzmaßnahme in ping6 verschwand aber bei einem späteren Refactoring und kam nie zurück.

AISLE hat außerdem einen 21 Jahre alten RCE in dhclient (CVE-2026-42511) entdeckt und berichtet, dass ihr autonomes System drei der acht April-Security-Advisories unabhängig gefunden hat — auf Augenhöhe mit Anthropics „Claude Mythos“.

Deb Goodkin daily-drived FreeBSD auf einem Framework-Laptop

Deb Goodkin, Executive Director der FreeBSD Foundation seit 2005, hat auf der Open Source Summit + ELC NA 2026 in Minneapolis über ihre Erfahrungen mit FreeBSD als Daily-Driver auf einem Framework-Laptop gesprochen. Bisher lief bei ihr — wie bei vielen — ein anderes OS auf dem Laptop, weil FreeBSD „wie ein Berg“ wirkte.

Ihre Erkenntnisse:

• Touchscreen funktionierte sofort
• KDE-Desktop lief stabil
• Peripherie wie WLAN-Maus klappte problemlos
• Zoom funktionierte nach einigem Suchen
• Webcam brauchte manuelle Einrichtung
• Microsoft Teams funktionierte nur teilweise

Das passt zum laufenden Laptop Integration Testing Project der Foundation, das 2026 die Grafik- und WLAN-Treiberlücke zu Linux schließen will.

NVIDIA-Treiber-Update

Der NVIDIA-Grafiktreiber in den FreeBSD-Ports wurde auf Version 595.71.05 aktualisiert. Wer NVIDIA-Hardware unter FreeBSD betreibt, sollte die Port-Aktualisierung einplanen.

Mailinglisten-Diskussionen

• Boot-Probleme: Es gab mehrere Berichte über Boot-Zeit-Probleme und Hänger bei 15.1-Installationen, insbesondere im diskless-Betrieb. Die Diskussionen auf freebsd-stableund freebsd-current sind noch im Gange.
• 15.1-BETA1-Pkgbase-Fingerprint-Problem: Graham Perrin meldete ein Problem mit den Fingerabdrücken der Basispakete in 15.1-BETA1, das Colin Percival zur Kenntnis genommen hat.

OpenBSD 7.9 (Nachbar-Notiz)

Am 30. Mai wurde OpenBSD 7.9 veröffentlicht — mit Unterstützung für bis zu 255 CPU-Kerne und WiFi 6. Nicht direkt FreeBSD, aber für alle BSD-Interessierten erwähnenswert.

Fazit der Woche

Die große Erkenntnis: KI-gestützte Sicherheitsforschung ist kein theoretisches Konzept mehr, sondern findet aktiv Kernel-Bugs in FreeBSD. Gleichzeitig zeigt die Kooperation zwischen Calif.io/AISLE und dem FreeBSD-Team, wie das konstruktiv aussehen kann — kurze Reports, vorgeschlagene Patches, direkte Kommunikation statt CVE-Zahlen-Jagd.

Die 15.1-RELEASE rückt näher und bringt alle diese Fixes mit. Wer Multi-User-Systeme betreibt, sollte SA-26:18.setcred und SA-26:21.ptrace sofort patchen — die restlichen Advisories diese Woche.

Die vergangene Woche war eine der ereignisreichsten für FreeBSD seit Langem: Sechs Sicherheitslücken wurden gleichzeitig veröffentlicht, FreeBSD 15.1 erreichte den Release-Candidate-Status, und die FreeBSD Foundation zeigt sich von der eigenen Desktop-Nutzung überrascht.

FreeBSD 15.1-RC1 veröffentlicht

Am 22. Mai gab Colin Percival die Veröffentlichung von FreeBSD 15.1-RC1 bekannt — der erste und voraussichtlich letzte Release Candidate vor dem geplanten Final Release Anfang Juni. RC1 steht für amd64, powerpc64, powerpc64le, armv7, aarch64 (inkl. RPI, PINE64, PINEBOOK, ROCK64, ROCKPRO64) und riscv64 zur Verfügung.

Die Änderungen seit Beta 3 umfassen:

• Die sechs neuen Security Advisories SA-26:18 bis SA-26:24 (siehe unten)
• Verbesserungen an fwget(8) zur automatischen Erkennung benötigter Firmware für weitere WLAN-Karten
• EC2 „small“-Instanzen führen firstboot_pkgs nicht mehr standardmäßig aus
• freebsd-update fragt nicht mehr nach dem Merge von /etc/ssl/cert.pem
• Diverse Kernel-Bugfixes und Manpage-Updates

Der gesamte Satz an Installations-Images, VM-Images (QCOW2, VHD, VMDK, Raw), OCI-Container-Images und EC2-AMI-Images steht auf den üblichen Download-Mirrors bereit.

Schwere Sicherheitswoche: Sechs Advisories gleichzeitig

Am 20. Mai veröffentlichte das FreeBSD Security Team gleich sechs Security Advisories — und gleich mehrere davon wurden durch KI-gestützte Schwachstellensuche entdeckt.

SA-26:18.setcred — Stack-Buffer-Overflow (CVE-2026-45250, kritisch)

Die schwerwiegendste Schwachstelle der Woche. Ein sizeof-Typfehler in kern_setcred_copyin_supp_groups()(sys/kern/kern_prot.c) führt zu einem Kernel-Stack-Buffer-Overflow im setcred(2)-Systemaufruf. Die Fehlerkette: sizeof(*groups) ergibt 8 Bytes (Zeigergröße) statt der erwarteten 4 Bytes (sizeof(gid_t)). Ein unprivilegierter lokaler Nutzer kann damit Root-Rechte erlangen — sogar auf Systemen mit SMAP/SMEP. Die Schwachstelle wurde von Przemyslaw Frasunek unter dem Namen „FatGid“ veröffentlicht und betrifft FreeBSD 14.3, 14.4 und 15.0.

Betroffen: 14.3 (behoben in p14), 14.4 (behoben in p5), 15.0 (behoben in p9). FreeBSD 13.x und früher sind nicht betroffen, da setcred(2) dort nicht existiert.

SA-26:19.file — Kernel Use-After-Free

Fehlerhafter Dateideskriptor-Systemaufruf kann zu Use-After-Free im Kernel führen. Entdeckt von Calif.io (KI-gestützte Schwachstellensuche).

SA-26:20.fusefs — Heap-Overflow in FUSE_LISTXATTR

Der Kernel verarbeitet erweiterte Attributlisten von Userspace-FUSE-Daemons ohne korrekte NUL-Terminierungsprüfung. Entdeckt vom AISLE Research Team (autonome Schwachstellensuche).

SA-26:21.ptrace — Fehlende Validierung in ptrace(PTSCREMOTE)

Fehlende Eingabevalidierung ermöglicht unprivilegierten lokalen Nutzern die Eskalation zu Root. Entdeckt mit GLM-5.1 von Z.ai.

SA-26:22.libcasper — Stack-Overflow über select(2)

Überlauf des Dateideskriptor-Sets in select(2) innerhalb von libcasper führt zu Stack-Overflow. Entdeckt vom AISLE Research Team.

SA-26:23.bsdinstall — Remote Code Execution über WLAN-Scan

Ein speziell gestalteter Netzwerkname (SSID) kann während des WiFi-Scans in bsdinstall und bsdconfig zur Ausführung beliebiger Befehle führen. Praktisch relevant bei der Installation in WLAN-Umgebungen.

SA-26:24.cap_net — Falsche Berechtigungsmanipulation

Fehlerhafte Manipulation von Limitierungslisten in libcap_net kann die Berechtigungen eines Prozesses erweitern. Entdeckt vom AISLE Research Team.

Fazit: Bemerkenswert ist, dass mehrere dieser Schwachstellen durch KI-basierte Werkzeuge entdeckt wurden (Calif.io, GLM-5.1, AISLE Research Team). Dies markiert einen Wendepunkt im Sicherheitsaudit von Betriebssystemen.

FreeBSD 15.1 Beta 3 (17. Mai)

Die dritte Beta von FreeBSD 15.1 brachte am vergangenen Wochenende ebenfalls wichtige Neuerungen:

• OpenZFS 2.4.2 wurde integriert (Bugfixes und Verbesserungen)
• Cloud-Images führen nun automatisch pkg upgrade beim ersten Boot durch, um Sicherheitsupdates anzuwenden
• Kerberos wurde aktualisiert
• Scripted bsdinstall-Installationen nutzen nun pkgbase
• Geplantes KDE-Desktop-Installationsprofil wurde auf FreeBSD 15.2 verschoben, da das Skript noch an neue NVIDIA-Treiber und veraltete Teile angepasst werden muss

FreeBSD Foundation Executive Director täglich FreeBSD auf Laptop

Deb Goodkin, Executive Director der FreeBSD Foundation seit 2005, berichtete auf der Open Source Summit North America (OSS 2026) in Minneapolis über ihre Erfahrungen, FreeBSD erstmals als tägliches Betriebssystem auf einem Framework-Laptop zu nutzen. Bisher hatte sie FreeBSD jedes Mal als „Berg“ empfunden, wenn sie es auf Laptops probierte. Mit der KDE-Desktop-Umgebung funktionierte der Touchscreen sofort, ebenso Peripheriegeräte. Probleme blieben jedoch: Zoom funktionierte nur nach Aufwand, die Webcam benötigte manuelle Schritte, und Microsoft Teams funktionierte nur teilweise. Ein ermutigendes Zeichen, aber auch ein ehrlicher Blick auf den noch bestehenden Nachholbedarf im Desktop-Bereich.

Community und Blogbeiträge

Per-Jail Package Repository Selection (Ian Wagner)

Ian Wagner veröffentlichte einen hilfreichen Blogbeitrag über die Konfiguration unterschiedlicher Package-Repositorien pro Jail unter FreeBSD. Mit AppJail lassen sich Jails deklarativ verwalten, und der Beitrag zeigt, wie man spezifische Jails auf den latest-Zweig der Ports umstellt, wenn man aktuellere Pakete benötigt, während andere beim quarterly-Zweig bleiben.

FreeBSD Resource Monitoring, Accounting, and Troubleshooting (Larvitz Blog)

Ein ausführlicher Beitrag über Ressourcenüberwachung und Fehlerbehebung auf FreeBSD-Systemen — von „der Server fühlt sich langsam an“ bis hin zu konkreten Diagnosewerkzeugen.

Migration von Ubuntu 16.04 zu FreeBSD

Ein Blog, der 10 Jahre auf Ubuntu 16.04 lief, berichtete über die Migration zu FreeBSD — motiviert durch das Ende des Lebenszyklus von Ubuntu 16.04 und die Aussicht auf langfristige Stabilität.

Valuable News — 18. Mai (vermaden)

Die wöchentliche Linksammlung von vermaden bietet wie immer einen guten Überblick über BSD- und UNIX-relevante Artikel der Woche.

Mailinglisten-Diskussionen

pkgbase-Upgrade von 15.0 auf 15.1

Die Diskussionen um den pkgbase-Upgrade-Pfad von 15.0-RELEASE auf 15.1-BETA2 zeigen, dass der Übergang zur neuen Standard-Installationsmethode noch nicht ganz reibungslos verläuft. Probleme mit Kernel-Modulen (kmods) und der pkgbase-quarterly-Repos wurden ausführlich diskutiert.

Boot-Time Bugs auf freebsd-stable

Garrett Wollman berichtete über Probleme beim Booten seiner Server-Flotte und löste eine Diskussion über Boot-Time-Verhalten und Fehlerbehandlung aus.

Diskless-Systeme mit 15.1

Daniel Braniss und Bjoern Zeeb diskutierten Probleme mit diskless-Setups unter FreeBSD 15.1, die zum Hängen führen können.

Ausblick

Wenn alles nach Plan verläuft, erscheint FreeBSD 15.1-RELEASE voraussichtlich am 2. Juni 2026. Das KDE-Desktop-Installationsprofil wird auf 15.2 (erwartet im Dezember) verschoben. Bis dahin bleibt die manuelle Installation über pkg der empfohlene Weg.

Die Woche war geprägt von der dritten Beta von FreeBSD 15.1, einer wichtigen Sicherheitslücke in execve(), Diskussionen über die KDE-Desktop-Installation und der Verschiebung dieses Features auf 15.2, sowie zwei libnv-Sicherheitslücken, die Ende April offengelegt wurden und nach wie vor Aufmerksamkeit verdienen. Hier ist der Überblick.

FreeBSD 15.1 Beta 3 veröffentlicht

Am Wochenende wurde FreeBSD 15.1-BETA3 als neuester Testkandidat veröffentlicht. Das Release rückt damit in die heiße Phase — nächste Woche wird der Release Candidate (RC) erwartet, und wenn alles glatt läuft, soll FreeBSD 15.1-RELEASE am 2. Juni 2026erscheinen.

Die wichtigsten Änderungen in Beta 3:

• OpenZFS 2.4.2 wurde integriert — die neueste OpenZFS-Version mit diversen Fehlerkorrekturen und kleinen Verbesserungen.
• Cloud-Images führen nun beim ersten Boot automatisch pkg upgrade durch, um Sicherheitsupdates des Basissystems anzuwenden. Das ist ein sinnvoller Schritt für Cloud-Deployments, die oft aus veralteten Images starten.
• Kerberos wurde aktualisiert.
• bsdinstall nutzt bei skriptgesteuerten Installationen jetzt pkgbase.

Die Beta-Phase lief bisher relativ ruhig — BETA1 und BETA2 in den Wochen davor brachten vor allem Zstd 1.5.7, Fehlerkorrekturen in ifconfig, lockf, stat, tail, certctl sowie Kernel-Fixes für nullfs, so_splice und VT.

Rückblick BETA2 (8. Mai)

• Update auf Zstd 1.5.7
• bsdinstall nutzt nun konsistent pkg.freebsd.org für Package-Bootstrap
• Diverse Userland- und Kernel-Fixes

Kritische Sicherheitslücke in execve() — CVE-2026-7270

Eine ernste Sicherheitslücke im Kernel wurde Ende April veröffentlicht und hat diese Woche weiterhin Diskussionsstoff geliefert. FreeBSD-SA-26:13.exec beschreibt einen Operator-Vorrang-Fehler (operator precedence) in der Implementierung von execve(2), der zu einem Pufferüberlauf führt. Angreiferkontrollierte Daten können in angrenzende Argument-Puffer überschreiben und Kernel-Zustand korrumpieren, was zur Erlangung von Root-Rechten durch unprivilegierte Nutzer führen kann.

Die Lücke betrifft alle unterstützten FreeBSD-Versionen (13.5 bis 15-Branch). Patches wurden innerhalb von Stunden veröffentlicht, und die Behebung besteht im Hinzufügen expliziter Klammern zur Durchsetzung der beabsichtigten Auswertungsreihenfolge sowie einer Verschärfung der Größenprüfungen.

Reaktionen der Community

• Positiv: Rasche Reaktion — das Advisory erschien weniger als eine Stunde nach Entdeckung des Fehlers, Patches für alle Zweige waren am selben Tag verfügbar.
• Kritisch: Es gibt keinen Workaround. Administratoren, die keinen sofortigen Reboot durchführen können (z. B. bei High-Availability-Systemen), bleiben verwundbar.
• Quellcode-basierte Installationen erfordern Kernel-Rekompilierung und Reboot, was auf älterer Hardware Stunden dauern kann.

Zwei libnv-Sicherheitslücken (SA-26:16 und SA-26:17)

Ebenfalls am 29. April wurden zwei Sicherheitslücken in libnv veröffentlicht, die weiterhin relevant sind:

• SA-26:16 (CVE-2026-39457): Stack-Overflow über select() — wenn ein Socket-Deskriptor größer als FD_SETSIZE (1024) ist, wird der Dateideskriptor-Satz von select(2) überlaufen. Ein Angreifer, der ein Programm dazu bringen kann, viele Dateideskriptoren zu öffnen, kann einen Stack-Overflow auslösen und bei setuid-Root-Programmen lokale Privilegien eskalieren. Entdeckt von Joshua Rogers (AISLE Research Team).
• SA-26:17 (CVE-2026-35547): Heap-Overflow in libnv — die Nachrichtengröße wird beim Verarbeiten des Headers nicht korrekt validiert, was Schreiben außerhalb der Heap-Allokation ermöglicht. Dies kann Abstürze, Panics oder mögliche Privilegieneskalation durch unprivilegierte Nutzer verursachen. Entdeckt von Mariusz Zaborski.

Beide Lücken betreffen alle unterstützten FreeBSD-Versionen und haben keinen Workaround. Ein Upgrade und Reboot ist zwingend erforderlich.

KDE-Desktop-Installation verschoben auf FreeBSD 15.2

Die lang erwartete KDE-Desktop-Option im FreeBSD-Installer wurde erneut verschoben — diesmal von 15.1 auf 15.2 (voraussichtlich Dezember 2026). Ursprünglich für 15.0 geplant, dann auf 15.1 verschoben, muss das Skript wegen neuer NVIDIA-Treiber aktualisiert und veraltete Teile entfernt werden. Nach dem Commit in CURRENT wird eine Testphase in STABLE benötigt, was den Zeitrahmen für 15.1 nicht mehr einhält.

Bis dahin bleibt der manuelle Weg: KDE Plasma nach der Installation via pkg aufsetzen.

Mailinglisten-Diskussionen

Update-Strategie und Timing (freebsd-current)

Bob Prohaska startete eine Diskussion über bevorzugte Update-Strategien für selbst gehostete FreeBSD-Systeme. Auf stable-Zweigen ist die Sache einfach: freebsd-update nutzen. Auf current wird es komplexer. Warner Losh, Rick Macklem, Mark Millard und andere diskutierten die Vor- und Nachteile verschiedener Ansätze — eine nützliche Lektüre für jeden, der current im Produktivbetrieb nutzt.

PKGBASE: Upgrade von 15.0 auf 15.1-BETA2

Vermaden fragte nach dem Upgrade-Pfad von FreeBSD 15.0-RELEASE auf 15.1-BETA2 im PKGBASE-Modell. Colin Percival bestätigte, dass dieser Pfad noch nicht vollständig dokumentiert ist. Das PKGBASE-System ist weiterhin als experimentell markiert, und der Minor-Upgrade-Pfad benötigt noch Arbeit.

Beach Cleaning Project: Infrastruktur-Aufräumung

Die FreeBSD Foundation veröffentlichte Ende April einen ausführlichen Bericht zum Beach Cleaning Project, der auch diese Woche noch Aufmerksamkeit erhält. Das Projekt zielt darauf ab, die Sicherheitsresilienz des FreeBSD-Basissystems zu verbessern:

• Maschinenlesbares Inventar von über 1.000 Komponenten im Basissystem, darunter 73 Third-Party-Komponenten
• OpenSSL 3.5 LTS wurde rechtzeitig für FreeBSD 15.0 integriert (statt OpenSSL 3.0, das im September 2026 EOL erreicht)
• SBOM-Generierung (Software Bill of Materials) im SPDX 2/3-Format
• CODEOWNERS-ähnliche Berichte für bessere Wartbarkeit
• Vorbereitung auf den Import von pkg ins Basissystem als Teil des pkgbase-Übergangs

Gefördert wurde das Projekt von Alpha-Omega.

Blogbeiträge der Woche

Vermaden: FreeBSD PKGBASE Minor Upgrades

Vermaden veröffentlichte einen praktischen Leitfaden zum Upgrade von FreeBSD 15.0 auf 15.1-BETA2 mit PKGBASE und ZFS Boot Environments. Der Artikel zeigt Schritt für Schritt, wie man eine neue BE erstellt, pkg-Repository konfiguriert, das Basissystem aktualisiert und bei Problemen zurückkehren kann — inklusive eines alternativen Wegs mit --chroot.

Going Back to BSD

Pete veröffentlichte einen persönlichen Blogbeitrag über seine Rückkehr zu BSD nach Jahrzehnten mit Linux. Er beschreibt den Wechsel von Linux (Arch) zu FreeBSD, die Einrichtung von Mailservern mit Bastille-Jails und die erfrischende Einfachheit des rc-Systems im Vergleich zu systemd. Ein nostalgischer und praktischer Bericht.

Ausblick

Die nächste Woche steht im Zeichen des Release Candidates für FreeBSD 15.1. Wenn keine unerwarteten Probleme auftreten, wird das finale Release am 2. Juni 2026 erwartet. Administratoren sollten dringend die drei Sicherheitslücken (execve, libnv x2) patchen, falls noch nicht geschehen.

Quellen: Phoronix, FreeBSD Mailinglisten, FreeBSD Security Advisories, FreeBSD Foundation, Vermaden Blog, LavX News, peteftw.com