FreeBSD-Wochenrückblick – KW 24 (9.–15. Juni 2026)

Thorsten Geppert FreeBSD, IT

Die große Security-Woche: Neun Advisories auf einmal

Die wahrscheinlich wichtigste Entwicklung dieser Woche war der Security-Advisory-Batch vom 9. Juni 2026, der nicht weniger als neun Advisories gleichzeitig brachte – darunter mehrere mit der Kategorie core und teilweise kritischer Auswirkung:

Die schwerwiegendsten Lücken

  • SA-26:25.thr – Fehlende Berechtigungsprüfung in thr_kill2(2). Ein unprivilegierter lokaler Nutzer konnte Signale an beliebige Prozesse senden, auch über Jail-Grenzen hinweg. Entdeckt von Forschern der Tsinghua-Universität mit Hilfe von GLM-5.1 (Z.ai) – ein bemerkenswerter Fall von KI-unterstützter Sicherheitsforschung. CVE-2026-45256
  • SA-26:26.ktls – Beliebiges Datei-Überschreiben über den KTLS-Empfangspfad. Durch KTLS-Entschlüsselung auf nicht-anonymen mbufs (via sendfile(2) + Loopback) konnte ein lokaler Nutzer Dateiinhalte überschreiben, inklusive setuid-Binaries – und damit volle Privilegieneskalation erreichen. Kein Workaround verfügbar. CVE-2026-45257, Kategorie: core.
  • SA-26:27.sound – Zwei mmap-Schwachstellen im sound(4)-Treiber (CVE-2026-45258CVE-2026-49417), die unprivilegierten lokalen Nutzern Lese-/Schreibzugriff auf Kernel-Speicher über /dev/dsp ermöglichten – ebenfalls Privilegieneskalation.
  • SA-26:28.capsicum – sigqueue(2) fehlte eine Capsicum-Modus-Prüfung, wodurch Sandbox-Prozesse Signale an andere Prozesse senden und Capsicum-Einschränkungen umgehen konnten.
  • SA-26:30.linux – Der Linuxulator setzte AT_SECUREfälschlicherweise auf Null für setuid/setgid-Linux-Binaries. Dadurch konnten unprivilegierte Nutzer über LD_PRELOADShared Libraries injizieren und Privilegien eskalieren.
  • SA-26:29.ip6_multicast – Schwachstelle in IPv6-Multicast-Verarbeitung.
  • SA-26:31.arm64 – Arm-CPU-Errata umgehen SeitenTabellen-Änderungen. Betroffen sind zahlreiche Cortex-A/Neoverse-Modelle (A76, A77, A78, A710, X1, X2, X3, X4, N1, N2, V1 u.v.m.). Kein Workaround. CVE-2025-10263
  • SA-26:32.elf – ELF-Verarbeitungsschwachstelle.
  • SA-26:35.openssl – Mehrere OpenSSL-Schwachstellen.

Fazit: Wer FreeBSD im produktiven Einsatz hat, sollte sofort patchen und rebooten – insbesondere die ktls- und thr-Lücken sind kritisch.

FreeBSD 15.1-RELEASE: Morgen geht’s los (endlich!)

Nach zwei ungeplanten Release Candidates wurde FreeBSD 15.1-RC3 am 6. Juni veröffentlicht. Der einzige aber kritische Fix betraf den x86-Bootloader/Kernel-Handover: Das System konnte beim Booten hängen bleiben, insbesondere wenn Intel-Microcode-Updates geladen wurden.

Der RELEASE-Termin steht nun auf 16. Juni 2026 – also morgen, falls nichts dazwischenkommt.

Was 15.1 bringt

Aus den Release Notes geht unter anderem hervor:

  • OpenPAM und Zstandard (zstd) sind in eigene pkgbase-Pakete gewandert
  • installworld/installkernel sind auf pkgbase-Systemen blockiert, um Inkonsistenzen vorzubeugen
  • Default-Shell für root und freebsd-User: jetzt sh(1) statt csh(1)
  • find(1) unterstützt -xattr und -xattrname für Extended-Attribute-Suche
  • bectl(8) hat -E für leere Boot-Umgebungen
  • zfs clone hat -u zum Verhindern automatischer Mounts
  • newfs(8) hat -u zum Deaktivieren von Soft Updates
  • daemon(8) unterstützt konfigurierbare Dateimodi für Log-Ausgabe
  • diff3(1) ist nun GNU-kompatibel im Merge-Modus
  • setaudit(8) als neues Utility für Audit-Richtlinien
  • ipfs(8) ist standardmäßig deaktiviert, Kernel-Unterstützung optional
  • DTrace jetzt mit Probes auf PowerPC
  • sched_ule als Scheduler-Instanz implementiert
  • Aktualisierter OpenZFS-Support
  • Oracle Cloud Infrastructure-Build-Targets entfernt

Grafiktreiber: drm-kmod aktualisiert

Am 10. Juni hat Jean-Sébastien Pédron (dumbbell) die DRM-Treiber im Ports-Tree aktualisiert – die Commit-Nachrichten deuten auf einen Versionswechsel zu Linux 6.12.85 hin (entspricht dem kürzlich releaseden drm_v6.12.85_2). Wer aktuelle Intel/AMD-Grafik braucht, sollte die drm-*-kmod-Pakete aktualisieren.

Blog-Beiträge der Woche

„Native inotify in FreeBSD“ (Klara Systems)

Klara Systems veröffentlichte einen ausführlichen Artikel über die Probleme der Userspace-inotify-Implementierung (libinotify.so) auf FreeBSD. Die Bibliothek übersetzt inotify-Aufrufe in kqueue/EVFILT_VNODE, was zu sporadisch fehlenden CLOSE-Events führt. Der Artikel vergleicht die inotify- und kqueue-APIs und diskutiert, wie eine native Kernel-inotify-Implementierung diese Zuverlässigkeitsprobleme lösen könnte.

„FreeBSD Jails“ (Tom’s IT Cafe, 5. Juni)

Ein weiterer Beitrag, der sich mit FreeBSD Jails als Container-Isolationstechnik befasst – ein Klassiker, der immer wieder aktualisiert wird.

Ports & Packages

  • lang/libobjc2 auf Version 2.3 aktualisiert
  • kf6-*: Portlint-Fixes in der KDE-Framework-6-Reihe
  • Ports-Q2-Branch (2026Q2) wurde Anfang April erstellt und läuft; nächste Aktualisierung auf dem 2026Q2-Branch ist in Vorbereitung

Ausblick

  • 16. Juni: Geplanter RELEASE-Termin für FreeBSD 15.1
  • Q2-Statusbericht: Die Einreichungsfrist für den FreeBSD-Quartalsstatusbericht (April–Juni) war der 14. Juni – der Bericht dürfte in den nächsten Wochen erscheinen
  • Die große Security-Woche zeigt, dass KI-gestützte Sicherheitsforschung zunehmend reale Auswirkungen hat (GLM-5.1 fand die thr_kill2-Lücke)

Schreibe einen Kommentar