FreeBSD-Wochenrückblick: 11.–17. Mai 2026

Thorsten Geppert Betriebssysteme, FreeBSD, IT

Die Woche war geprägt von der dritten Beta von FreeBSD 15.1, einer wichtigen Sicherheitslücke in execve(), Diskussionen über die KDE-Desktop-Installation und der Verschiebung dieses Features auf 15.2, sowie zwei libnv-Sicherheitslücken, die Ende April offengelegt wurden und nach wie vor Aufmerksamkeit verdienen. Hier ist der Überblick.

FreeBSD 15.1 Beta 3 veröffentlicht

Am Wochenende wurde FreeBSD 15.1-BETA3 als neuester Testkandidat veröffentlicht. Das Release rückt damit in die heiße Phase — nächste Woche wird der Release Candidate (RC) erwartet, und wenn alles glatt läuft, soll FreeBSD 15.1-RELEASE am 2. Juni 2026erscheinen.

Die wichtigsten Änderungen in Beta 3:

  • OpenZFS 2.4.2 wurde integriert — die neueste OpenZFS-Version mit diversen Fehlerkorrekturen und kleinen Verbesserungen.
  • Cloud-Images führen nun beim ersten Boot automatisch pkg upgrade durch, um Sicherheitsupdates des Basissystems anzuwenden. Das ist ein sinnvoller Schritt für Cloud-Deployments, die oft aus veralteten Images starten.
  • Kerberos wurde aktualisiert.
  • bsdinstall nutzt bei skriptgesteuerten Installationen jetzt pkgbase.

Die Beta-Phase lief bisher relativ ruhig — BETA1 und BETA2 in den Wochen davor brachten vor allem Zstd 1.5.7, Fehlerkorrekturen in ifconfig, lockf, stat, tail, certctl sowie Kernel-Fixes für nullfs, so_splice und VT.

Rückblick BETA2 (8. Mai)

  • Update auf Zstd 1.5.7
  • bsdinstall nutzt nun konsistent pkg.freebsd.org für Package-Bootstrap
  • Diverse Userland- und Kernel-Fixes

Kritische Sicherheitslücke in execve() — CVE-2026-7270

Eine ernste Sicherheitslücke im Kernel wurde Ende April veröffentlicht und hat diese Woche weiterhin Diskussionsstoff geliefert. FreeBSD-SA-26:13.exec beschreibt einen Operator-Vorrang-Fehler (operator precedence) in der Implementierung von execve(2), der zu einem Pufferüberlauf führt. Angreiferkontrollierte Daten können in angrenzende Argument-Puffer überschreiben und Kernel-Zustand korrumpieren, was zur Erlangung von Root-Rechten durch unprivilegierte Nutzer führen kann.

Die Lücke betrifft alle unterstützten FreeBSD-Versionen (13.5 bis 15-Branch). Patches wurden innerhalb von Stunden veröffentlicht, und die Behebung besteht im Hinzufügen expliziter Klammern zur Durchsetzung der beabsichtigten Auswertungsreihenfolge sowie einer Verschärfung der Größenprüfungen.

Reaktionen der Community

  • Positiv: Rasche Reaktion — das Advisory erschien weniger als eine Stunde nach Entdeckung des Fehlers, Patches für alle Zweige waren am selben Tag verfügbar.
  • Kritisch: Es gibt keinen Workaround. Administratoren, die keinen sofortigen Reboot durchführen können (z. B. bei High-Availability-Systemen), bleiben verwundbar.
  • Quellcode-basierte Installationen erfordern Kernel-Rekompilierung und Reboot, was auf älterer Hardware Stunden dauern kann.

Zwei libnv-Sicherheitslücken (SA-26:16 und SA-26:17)

Ebenfalls am 29. April wurden zwei Sicherheitslücken in libnv veröffentlicht, die weiterhin relevant sind:

  • SA-26:16 (CVE-2026-39457): Stack-Overflow über select() — wenn ein Socket-Deskriptor größer als FD_SETSIZE (1024) ist, wird der Dateideskriptor-Satz von select(2) überlaufen. Ein Angreifer, der ein Programm dazu bringen kann, viele Dateideskriptoren zu öffnen, kann einen Stack-Overflow auslösen und bei setuid-Root-Programmen lokale Privilegien eskalieren. Entdeckt von Joshua Rogers (AISLE Research Team).
  • SA-26:17 (CVE-2026-35547): Heap-Overflow in libnv — die Nachrichtengröße wird beim Verarbeiten des Headers nicht korrekt validiert, was Schreiben außerhalb der Heap-Allokation ermöglicht. Dies kann Abstürze, Panics oder mögliche Privilegieneskalation durch unprivilegierte Nutzer verursachen. Entdeckt von Mariusz Zaborski.

Beide Lücken betreffen alle unterstützten FreeBSD-Versionen und haben keinen Workaround. Ein Upgrade und Reboot ist zwingend erforderlich.

KDE-Desktop-Installation verschoben auf FreeBSD 15.2

Die lang erwartete KDE-Desktop-Option im FreeBSD-Installer wurde erneut verschoben — diesmal von 15.1 auf 15.2 (voraussichtlich Dezember 2026). Ursprünglich für 15.0 geplant, dann auf 15.1 verschoben, muss das Skript wegen neuer NVIDIA-Treiber aktualisiert und veraltete Teile entfernt werden. Nach dem Commit in CURRENT wird eine Testphase in STABLE benötigt, was den Zeitrahmen für 15.1 nicht mehr einhält.

Bis dahin bleibt der manuelle Weg: KDE Plasma nach der Installation via pkg aufsetzen.

Mailinglisten-Diskussionen

Update-Strategie und Timing (freebsd-current)

Bob Prohaska startete eine Diskussion über bevorzugte Update-Strategien für selbst gehostete FreeBSD-Systeme. Auf stable-Zweigen ist die Sache einfach: freebsd-update nutzen. Auf current wird es komplexer. Warner Losh, Rick Macklem, Mark Millard und andere diskutierten die Vor- und Nachteile verschiedener Ansätze — eine nützliche Lektüre für jeden, der current im Produktivbetrieb nutzt.

PKGBASE: Upgrade von 15.0 auf 15.1-BETA2

Vermaden fragte nach dem Upgrade-Pfad von FreeBSD 15.0-RELEASE auf 15.1-BETA2 im PKGBASE-Modell. Colin Percival bestätigte, dass dieser Pfad noch nicht vollständig dokumentiert ist. Das PKGBASE-System ist weiterhin als experimentell markiert, und der Minor-Upgrade-Pfad benötigt noch Arbeit.

Beach Cleaning Project: Infrastruktur-Aufräumung

Die FreeBSD Foundation veröffentlichte Ende April einen ausführlichen Bericht zum Beach Cleaning Project, der auch diese Woche noch Aufmerksamkeit erhält. Das Projekt zielt darauf ab, die Sicherheitsresilienz des FreeBSD-Basissystems zu verbessern:

  • Maschinenlesbares Inventar von über 1.000 Komponenten im Basissystem, darunter 73 Third-Party-Komponenten
  • OpenSSL 3.5 LTS wurde rechtzeitig für FreeBSD 15.0 integriert (statt OpenSSL 3.0, das im September 2026 EOL erreicht)
  • SBOM-Generierung (Software Bill of Materials) im SPDX 2/3-Format
  • CODEOWNERS-ähnliche Berichte für bessere Wartbarkeit
  • Vorbereitung auf den Import von pkg ins Basissystem als Teil des pkgbase-Übergangs

Gefördert wurde das Projekt von Alpha-Omega.

Blogbeiträge der Woche

Vermaden: FreeBSD PKGBASE Minor Upgrades

Vermaden veröffentlichte einen praktischen Leitfaden zum Upgrade von FreeBSD 15.0 auf 15.1-BETA2 mit PKGBASE und ZFS Boot Environments. Der Artikel zeigt Schritt für Schritt, wie man eine neue BE erstellt, pkg-Repository konfiguriert, das Basissystem aktualisiert und bei Problemen zurückkehren kann — inklusive eines alternativen Wegs mit --chroot.

Going Back to BSD

Pete veröffentlichte einen persönlichen Blogbeitrag über seine Rückkehr zu BSD nach Jahrzehnten mit Linux. Er beschreibt den Wechsel von Linux (Arch) zu FreeBSD, die Einrichtung von Mailservern mit Bastille-Jails und die erfrischende Einfachheit des rc-Systems im Vergleich zu systemd. Ein nostalgischer und praktischer Bericht.

Ausblick

Die nächste Woche steht im Zeichen des Release Candidates für FreeBSD 15.1. Wenn keine unerwarteten Probleme auftreten, wird das finale Release am 2. Juni 2026 erwartet. Administratoren sollten dringend die drei Sicherheitslücken (execve, libnv x2) patchen, falls noch nicht geschehen.

Quellen: PhoronixFreeBSD MailinglistenFreeBSD Security AdvisoriesFreeBSD FoundationVermaden BlogLavX Newspeteftw.com

Schreibe einen Kommentar