Die dritte Release Candidate für FreeBSD 15.1, Kritische x86-Bootloader-Bugs, eine Flut von KI-entdeckten Sicherheitslücken und der Rückblick auf den Frankfurter Hackathon – diese Woche war bei FreeBSD wieder viel geboten.
FreeBSD 15.1-RC3 veröffentlicht – Release verschiebt sich auf Mitte Juni
Das wohl wichtigste Ereignis der Woche: Colin Percival kündigte am 6. Juni FreeBSD 15.1-RC3 an. Der dritte Release Candidate war nötig geworden, weil ein kritischer Bug im x86-Bootloader entdeckt wurde, der das System beim Booten zum Hängen bringen konnte – insbesondere, aber nicht ausschließlich, wenn Intel-Microcode-Updates geladen werden.
Die offizielle Ankündigung warnt ausdrücklich: Beim Upgrade auf RC3 muss der aktualisierte EFI-Bootloader installiert werden. Der ursprünglich für Anfang Juni geplante Release-Termin verschiebt sich damit auf Mitte Juni.
RC2 (vom 31. Mai) hatte bereits PadLock-RNG-Unterstützung für VIA/Zhaoxin-Prozessoren wieder aufgenommen und die Sicherheitsfixes aus SA-26:19 bis SA-26:24 integriert. RC3 baut darauf auf und fügt den kritischen Bootloader-Fix hinzu.
Verfügbar sind Images für amd64, powerpc64(le), armv7, aarch64 (inkl. RPI, PINE64, ROCK64) und riscv64, sowie VM-Images (QCOW2, VHD, VMDK, raw), OCI-Container-Images und Amazon-EC2-AMI-Images.
Sicherheitsadvisories – KI-gestützte Schwachstellenjagd zeigt Wirkung
Die Welle von Sicherheitsadvisories, die Ende Mai veröffentlicht wurde (SA-26:18 bis SA-26:24), dominiert weiterhin die Diskussionen. Bemerkenswert ist, dass ein Großteil dieser Schwachstellen durch KI-gestützte Sicherheitsforschung entdeckt wurde:
SA-26:18.setcred – Stack-Buffer-Overflow via setcred(2)
Eine Schwachstelle im neuen setcred(2)-Systemaufruf ermöglichte einen Stack-Buffer-Overflow, der zur lokalen Privilegieneskalation führen konnte (CVE-2026-45250).
SA-26:19.file – Kernel Use-After-Free über File-Descriptor-Syscalls
Entdeckt von der Firma Calif.io. Ein Use-After-Free im Kernel über Dateideskriptor-Systemaufrufe.
SA-26:20.fusefs – Heap-Overflow in FUSE_LISTXATTR
Entdeckt vom AISLE Research Team. Ein Heap-Overflow im FUSE-Dateisystem-Code.
SA-26:21.ptrace – Fehlende Validierung in ptrace(PTSCREMOTE)
Gefunden von Forschern mit GLM-5.1 von Z.ai. Unprivilegierte lokale Nutzer konnten Berechtigungen auf Root eskalieren.
SA-26:22.libcasper – select(2)-FD-Set-Overflow → Stack-Overflow
Ebenfalls vom AISLE Research Team. Ein Überlauf des Dateideskriptor-Sets in select(2) führte zu einem Stack-Overflow. CVE-2026-39457 und CVE-2026-39461 wurden zugewiesen.
SA-26:23.bsdinstall – RCE über WLAN-Scan beim Installer
Ein sorgfältig gestalteter Netzwerkname (SSID) konnte während des WLAN-Scans in bsdinstall/bsdconfig zur Befehlsausführung führen.
SA-26:24.capnet – Falsche libcapnet-Berechtigungsmanipulation
Unkorrekte Manipulation von Berechtigungslisten in libcap_net konnte die Berechtigungen eines Prozesses erweitern.
Älteres Advisory aus April: SA-26:14.pf – pf-Stack-Overflow über SCTP
Bereits am 29. April veröffentlicht, aber für das Verständnis der aktuellen Welle relevant: Ungültige SCTP-Pakete konnten durch ungebundene Rekursion in pf zu einem Stack-Overflow und Kernel-Panic führen (CVE-2026-7164).
AISLE: Drei setuid-root-Stack-Buffer-Overflows aufgedeckt
Das AISLE Research Team veröffentlichte am 25. Mai einen detaillierten Blogpost über die Entdeckung von drei separaten Stack-Buffer-Overflows in FreeBSD, die alle über denselben grundlegenden Angriffspfad erreichbar waren:
- ping6: Der setuid-root-Befehl verlor einen Sicherheitscheck, den das eng verwandte
ping-Programm behalten hatte. Ein lokaler Nutzer konnte durch Öffnen vieler Dateideskriptoren und anschließendes Ausführen von/sbin/ping6Deskriptoren über 1023 erzwingen und damitFD_SET()-Aufrufe ohne Bounds-Check erreichen. - libnv: Derselbe FD_SET-Überlauf in der NV-Code-Bibliothek.
- libcasper: Ironischerweise traf der Fehler auch die Capsicum/Casper-Infrastruktur, die eigentlich zur Sandbox-Isolation gedacht ist.
Besonders interessant: Der ping6-Bug war bereits 2002 in ähnlichem Code behoben worden, der entsprechende Guard wurde aber bei einem späteren Refactoring entfernt und nie wiederhergestellt.
Blogposts und Artikel
„An AI audit of FreeBSD“ (blog.calif.io, 28. Mai)
Calif.io veröffentlichte einen umfassenden Rückblick auf ihre KI-gestützte Audit-Kampagne gegen FreeBSD. Ergebnis: 15 Kernel-Bugs, darunter 3 Remote Code Execution (RCE), 5 Local Privilege Escalation (LPE) und 1 bhyve-Escape. Der Blogpost dokumentiert den Prozess und die Ergebnisse im Detail.
„CVE-2026-7270: How I Get Root on FreeBSD with a Shell Script“ (blog.calif.io, 7. Mai)
Ein weiterer Calif.io-Artikel, der demonstriert, wie ein einzelnes Shell-Skript ausreichte, um Root-Zugriff auf einem FreeBSD-System zu erlangen.
AISLE: „AISLE matches Anthropic Mythos on FreeBSD zero-days“ (6. Mai)
AISLE berichtet, dass sie drei der acht FreeBSD-Sicherheitsadvisories aus April 2026 unabhängig reproduzieren konnten, die auch von Nicholas Carlini bei Anthropic (Claude Mythos) gefunden wurden.
AISLE: „AISLE Finds 21-Year-Old FreeBSD RCE Hidden in dhclient“ (7. Mai)
CVE-2026-42511: Eine 21 Jahre alte Remote-Code-Execution-Schwachstelle in dhclient, bei der das BOOTP-Dateifeld nicht korrekt escaped wurde und so beliebige dhclient.conf-Direktiven injiziert werden konnten.
Frankfurt Area FreeBSD Hackathon Recap (FreeBSD Foundation, 2. Juni)
Die FreeBSD Foundation veröffentlichte den Rückblick auf das erste regionale Hackathon im Frankfurter Raum (24.–26. April). Ergebnisse: 120 geschlossene Bug-Reports, erfolgreiche Implementierung von SBOM-Funktionalität (Software Bill of Materials) und eine deutsche Übersetzung von Sylve.
„FreeBSD May 2026 Security Batch – An Operator’s Triage Guide“ (maxiujun.com)
Eine praktische Triage-Anleitung für Admins: Von den sieben gleichzeitig veröffentlichten Advisories sind zwei kernel-seitig und trivial durch lokale Nutzer ausnutzbar – diese sollten zuerst gepatcht werden.
Mailinglisten-Diskussionen
mtree(1) POLA-Verletzung
Gleb Smirnoff wies auf der freebsd-current-Liste darauf hin, dass der aktuelle Import von mtree(1) aus NetBSD eine POLA-Verletzung (Principle of Least Astonishment) darstellt: Das Verhalten bei Prüfsummen hat sich geändert. Jose Luis Duran und Xin LI diskutierten mögliche Korrekturen; ein Differential (D56013) wurde eingereicht, um fehlende Einträge nachzuziehen.
15.1-Release-Planung
Die Mailinglisten zeigen die typische Endphase-Aktivität: RC1, RC2 und RC3 wurden jeweils mit Ankündigungen auf freebsd-stable veröffentlicht. Die Verzögerung durch die zusätzlichen Release-Kandidaten wird auf den Listen gemischt aufgenommen – Verständnis für die Sicherheitslücken, aber auch Ungeduld beim Warten auf den finalen Release.
Ausblick
- BSDCan 2026 und das FreeBSD Developer Summit finden am 17.–18. Juni in Ottawa, Kanada, statt.
- FreeBSD 15.1-RELEASE wird voraussichtlich Mitte Juni erscheinen, sofern keine weiteren kritischen Probleme auftauchen.
- Die KI-gestützte Sicherheitsforschung (Calif.io, AISLE, Anthropic Mythos) hat sich als ernstzunehmende Kraft etabliert – weitere Funde sind zu erwarten.