Die vergangene Woche gehörte FreeBSD: Mit dem Release von 15.1, einem massiven Security-Advisory-Batch, einem neuen AI-gestützten Schwachstellen-Projekt und dem End-of-Life für 14.3 gab es reichlich zu verarbeiten.
FreeBSD 15.1-RELEASE erschienen
Das wichtigste Ereignis der Woche: Am 16. Juni hat das Release Engineering Team FreeBSD 15.1-RELEASE veröffentlicht. Nachdem ein kritischer Bootloader-Bug auf x86-Systemen das Release um zwei Wochen verschoben hatte, ist die zweite Version des stable/15-Zweigs nun verfügbar.
Wichtigste Neuerungen in 15.1
WiFi-Treiber auf Linux-Kernel-7.0-Stand: Die LinuxKPI-basierten WLAN-Treiber (iwlwifi u.a.) wurden auf den Stand des Linux-Kernels 7.0 aktualisiert. Das bringt deutlich bessere Kompatibilität mit moderner WLAN-Hardware, insbesondere für Intel- und einige MediaTek/Realtek-Chipsätze.
C23-Unterstützung vorangeschritten: Der Compiler und die Standardbibliothek machen weitere Fortschritte bei der Umsetzung des C23-Standards.
Graphics-Treiber auf Linux 6.12 (LTS): Die FreeBSD Foundation hat zeitgleich zum Release bekanntgegeben, dass der drm-kmod-Port nun die Linux-6.12-Grafiktreiber enthält – ein LTS-Kernel, der bis 2036 gepflegt wird (CIP-Programm). Das verbessert die Kompatibilität mit aktuellen AMD-Radeon- und Intel-GPUs und bringt bessere Wayland-Unterstützung. Verfügbar ab FreeBSD 15.1.
Weitere Änderungen in 15.1:
- OpenPAM in ein separates FreeBSD-pam-Paket ausgelagert (pkgbase)
- Zstandard/zstd(1) in ein separates FreeBSD-zstd-Paket ausgelagert
- installworld/installkernel werden auf pkgbase-Systemen blockiert, um Inkonsistenzen vorzubeugen
- Standard-Shell für root und den freebsd-User in Release-Images ist nun sh(1) statt csh(1)
- find(1) unterstützt neue Primaries
-xattrund-xattrnamezur Suche nach Extended Attributes (gesponsert von Klara Systems) - newfs(8) verbietet nun die gleichzeitige Nutzung von GEOM-Journaling und Soft Updates; neuer
-u-Flag zum Deaktivieren von Soft Updates - bectl(8) hat neuen
-E-Flag für leere Boot Environments ohne Klonen - zfs clone unterstützt
-uzum Verhindern des automatischen Mounts - ipfs(8) standardmäßig deaktiviert, Kernel-Support nun optional
- Neue Tastaturlayouts: us.intl.acc.kbd und Lenovo-Laptop-Keymap für vt(4)
- diff3(1) im Merge-Modus nun kompatibel zu GNU diff3
- pwd(1) folgt nun standardmäßig
-L(logisch), POSIX-konform
Release-Informationen: freebsd.org/releases/15.1R
Neun Security Advisories auf einmal
Am 9. Juni – noch vor dem Release – hat das Security Team neun Advisories gleichzeitig veröffentlicht, darunter mehrere mit kritischen Auswirkungen:
| Advisory | Komponente | Kategorie | Thema |
|---|---|---|---|
| SA-26:25.thr | kernel (thr) | core | Fehlende Berechtigungsprüfung in thr_kill2(2) |
| SA-26:26.ktls | kernel (ktls) | core | Beliebiger Datei-Overwrite über KTLS-Receive-Pfad |
| SA-26:27.sound | kernel (sound) | core | Mehrere Schwachstellen im sound(4) mmap-Pfad |
| SA-26:29.ip6_multicast | kernel (ip6_multi) | core | Use-after-free in IPV6_MSFILTER |
| SA-26:30.linux | kernel (linux) | core | Fehler in Linuxulator-Ausführung von setugid-Binaries |
| SA-26:31.arm64 | kernel (arm64) | core | ARM-CPU-Errata umgeht Page-Table-Berechtigungsänderungen |
| SA-26:32.elf | kernel (elf) | core | ASLR-Bypass über procctl(2) bei setuid-Executables |
| SA-26:34.vt | kernel (vt) | core | Integer-Overflow in vt(4) CONS_HISTORY-ioctl |
| SA-26:35.openssl | openssl | contrib | Mehrere OpenSSL-Schwachstellen |
| SA-26:36.ldns | ldns | contrib | Unzureichende Response-Validierung im ldns-Stub-Resolver |
Alle Advisories sind in 15.1-RELEASE gepatcht. Nutzer älterer Versionen sollten dringend aktualisieren.
AI-gestütztes Schwachstellen-Projekt gestartet
Die FreeBSD Foundation hat am 15. Juni das AI-assisted Vulnerability Discovery Project angekündigt. Finanziert mit 250.000 USD von der Alpha-Omega-Initiative der Linux Foundation (mit Mitteln von Anthropic, AWS, GitHub, Google, Microsoft und OpenAI) werden Mitglieder des FreeBSD Security Teams unter Zeitverträgen arbeiten, um mit Hilfe von KI-Modellen Schwachstellen proaktiv zu finden und zu beheben.
Kernpunkte:
- Fokus zunächst auf den Kernel, danach Userland und Ports
- KI wird nur zur Discovery und Analyse eingesetzt; Patches werden manuell erstellt
- Netflix, NetApp und Verisign unterstützen bei Testing und Validierung
- Das Projekt reagiert auf die stark gestiegene Zahl an KI-generierten Vulnerability-Reports
Zeitgleich veröffentlichte Praetorian (Sicherheitsfirma) einen ausführlichen Blogpost über ihre eigene Arbeit: Mit Claude Code (Opus 4.6) fanden sie innerhalb weniger Tage acht FreeBSD-Kernel-Schwachstellen, darunter CVE-2026-3038 (Stack-Overflow in route, bereits in SA-26:05.route gepatcht). Die anderen sieben werden noch bearbeitet. Der Blogpost beschreibt detailliert die Methodik – von der Quellcode-Analyse über Crash-Reproduktion bis hin zur Exploit-Entwicklung mit Jail-Escape.
FreeBSD 14.3 erreicht End-of-Life
Am 20. Juni hat das Security Team angekündigt, dass FreeBSD 14.3 am 30. Juni 2026 End-of-Life erreicht. Danach gibt es keine Sicherheitspatches mehr. Nutzer sollten auf 14.4 oder 15.1 aktualisieren. Der Zweig stable/14 wird noch bis November 2028 gepflegt.
Blog-Beiträge und Community
pkgbasify – Wie man elegant zu pkgbase wechselt: Dag-Erling Smørgrav (blog.des.no) beschreibt seinen eigenen Ansatz, FreeBSD-15.1-Systeme von Distribution-Sets auf pkgbase umzustellen – mit einem einzigen pkg install-Kommando. Er kritisiert dabei das offizielle pkgbasify-Skript der Foundation und bietet eine direktere Alternative. Wer schon immer mal pkgbase ausprobieren wollte, findet hier eine pragmatische Anleitung.
Native inotify in FreeBSD: Klara Systems veröffentlichte einen tiefgehenden Artikel über die Grenzen von EVFILT_VNODE/kqueue für Dateimonitoring und warum FreeBSD eine native inotify-Implementierung braucht. Das bestehende libinotify-Userspace-Wrapper leidet unter Race Conditions und Skalierbarkeitsproblemen – der Artikel erklärt die technischen Details und zeigt Lösungsvorschläge.
ZFS Vendor Import: Chris Longros berichtet, dass seine ZFS-Commits in den FreeBSD-Tree importiert wurden – ein kleiner, aber wichtiger Meilenstein für die kontinuierliche ZFS-Pflege.
Im Quellcode
Ausgewählte Commits der letzten Tage:
- FORTIFY_SOURCE-Overrides: Kevans implementiert per-File-Overrides für FORTIFY_SOURCE im Build-System – ein Schritt zu robusteren Buffer-Checks im Basissystem
- rename(2): Kostik Belousov verhindert, dass der Root-VNode eines gemounteten Filesystems umbenannt werden kann (Sicherheitsfix)
- renameat(2): Signal-Check bei Retry-Schleifen hinzugefügt
- NFS va_flags Fix: Korrektur für den Fall, dass va_flags gelöscht werden
- lsof: Fix für den Build auf 16-CURRENT (malloc.h-Konflikt)
- APEI: Mehr Informationen bei fatalen Hardware-Fehlern
Zusammenfassung
Die Woche war geprägt von FreeBSD 15.1 – einem Release, das spürbar an Laptop- und Desktop-Tauglichkeit gewinnt (WLAN, Grafik, besseres Suspend/Resume). Gleichzeitig zeigt die Flut an Security-Advisories und das neue AI-Vulnerability-Projekt, wie sehr sich die Bedrohungslage verändert: KI-Tools senken die Hemmschwelle für Schwachstellen-Findung drastisch, und FreeBSD rüstet auf. Wer noch auf 14.3 läuft, muss spätestens am 30. Juni handeln.