Datum: 13. Juli 2026
Zeitraum: Montag, 6. Juli – Sonntag, 12. Juli 2026
Sicherheitslücken: 13 Advisories Ende Juni
Die größte Sicherheitsnachricht der letzten Wochen fiel auf den 30. Juni: FreeBSD veröffentlichte 13 Sicherheits-Advisories (SA-26:37 bis SA-26:49), die mehrere kritische Schwachstellen betreffen. Die wichtigsten:
- SA-26:40.zfs – OpenZFS-Schwachstellen (CVE-2026-49429, CVE-2026-49430):Eingabesteuerungen kürzen 64-Bit-Puffergrößen auf 32-Bit-Integer bei der Speicherzuweisung, verwenden aber die ursprüngliche 64-Bit-Größe beim Schreiben. Das führt zu Kernel-Heap-Overflows. Besonders gefährdet sind Systeme mit ZFS-Delegation-Features.
- SA-26:41.libalias – Buffer Overflow im RTSP-Handler (CVE-2026-49420): Der libalias-RTSP-Handler schreibt umgeschriebene Pakete in einen Stack-Puffer fester Länge, ohne die Größe zu prüfen. Ein entfernter Angreifer kann damit ein NAT-Gateway übernehmen.
- SA-26:43.tcp – Use-After-Free im TCP RACK Stack (CVE-2026-49422): Der Options-Handler gibt ein Connection-Lock frei, um Nutzerdaten zu kopieren, lädt aber nach dem Wiedererwerb einen veralteten Pointer nicht neu. Schnelles Stack-Wechseln in diesem Fenster hinterlässt einen Stale Pointer.
- SA-26:44.posixshm – POSIX Largepage-Schwachstellen: Das System gibt Speicherseiten bei
sendfilemit einem bestimmten Flag frei, während aktive Mappings noch darauf verweisen. Lokale Angreifer können auf freigegebenen Kernelspeicher zugreifen. - SA-26:46.ktls – Remote DOS über uninitialisierten Speicher im KTLS-Empfangspfad: Eine weitere KTLS-Schwachstelle (nach CVE-2026-45257, der lokalem Root-Zugang ermöglichte). Der Empfangspfad greift auf uninitialisierten Speicher zu, was zu einem Absturz führen kann.
- SA-26:48.compat32 – Heap-Offenlegung im compat32 kevent()-Handler: Der 32-Bit-Kompatibilitäts-Handler kann uninitialisierten Kernel-Speicher an Nutzerprozesse preisgeben.
- SA-26:49.iconv – Mehrere Schwachstellen in iconv(3)
Alle Advisories betreffen FreeBSD 14.x und 15.x. Administratoren sollten ihre Systeme zeitnah aktualisieren. Wer bestimmte Module nicht lädt, ist teilweise nicht betroffen; als Workaround können libalias deaktiviert, das TCP-RACK-Modul entladen und unprivilegierter ZFS-Zugriff eingeschränkt werden.
Im Quellcode: Entwickler-Commits der Woche
Auf dem main-Branch (FreeBSD 16-CURRENT) gab es mehrere bemerkenswerte Commits:
- pf: Netlink-Befehle zurück auf enum (Gleb Smirnoff): Die pf-Netlink-Schnittstelle wurde refaktoriert; die Befehle wurden von Makros zurück auf ein enum-Format geändert, was die Wartbarkeit verbessert.
- libc/resolv: Option-Parser refaktoriert (Dag-Erling Smørgrav): Der Resolver-Optionsparser wurde überarbeitet, toten Code entfernt und den Stil aufgeräumt.
- libsysdecode: mktables unterstützt nun enums (Dag-Erling Smørgrav): Das Tabellen-Generierungstool kann jetzt Enum-Werte verarbeiten.
- inotify.2: Formatierung korrigiert (Mark Johnston): Die Manpage für inotify wurde aufgebessert.
- pdfork.2: Grammatikkorrektur (Konstantin Belousov): Kleine, aber saubere Dokumentationsverbesserung.
- D56976: Heap-Offenlegung in compat7 kern.proc.filedesc sysctl behoben (emaste): Eine Phabricator-Review, die einen Speicherleck-Fehler im Kompatibilitätscode schließt.
Im Ports-Tree: – www/deno: Port verbessert (VVD, delphij): Deno-Port erhielt Abhängigkeitskorrekturen, PREFIX/LOCALBASE-Bereinigungen und drei Patch-Korrektheitsfehler wurden behoben.
Blogartikel und Community-Beiträge
„Moving to FreeBSD from Linux“ (Kuon, 2. Juli)
Ein langjähriger Mac-OS- und später Linux-Nutzer (10 Jahre Arch Linux mit Sway/Wayland) beschreibt seinen Wechsel zu FreeBSD als Daily Driver. Nach einem Kernel-Update, das seine Tastatur lahmlegte, installierte er FreeBSD und ist seit 6 Monaten zufrieden. Fehlende Dinge: OBS Browser Source und AnyDesk/RustDesk (Workaround: VM). Sein Fazit: „It works.“ und die Community sei sehr einladend.
„Why FreeBSD Appears to Eat Your RAM (and Why It Doesn’t Matter)“ (SourceFeed, 4. Juli)
Ein ausgezeichneter technischer Artikel über FreeBSDs Speicherverwaltung. Er erklärt, warum Tools wie btop und fastfetch auf demselben System völlig unterschiedliche Speicherauslastung anzeigen (btop sieht Wired-Memory als „belegt“, fastfetch zählt Inactive+Cache als „frei“). Der Artikel deckt die Page-Queues (Active, Inactive, Laundry, Wired, Free) und die ZFS ARC ab – und warum beinahe freier Speicher auf einem gesunden FreeBSD-System gegen Null tendiert (by Design).
„Upgrading FreeBSD 15.0 to 15.1: The Official Paths“ (Larvitz Blog)
Ein detaillierter Leitfaden für das Upgrade von 15.0-RELEASE auf 15.1-RELEASE über beide offiziellen Pfade: freebsd-update (Distribution-Set) und pkg (Packaged-Base). Besonders nützlich: Die Unterscheidung mittels pkg which /usr/bin/uname, die Boot-Loader-Update-Sequenz und der Hinweis auf die Errata vom 30. Juni (die besagten 13 Advisories). Der Artikel wurde am 2. Juli aktualisiert und enthält nun den korrekten Ablauf.
„GitLab on FreeBSD“ (Vuink, 9. Juli)
Eine Anleitung zur Installation und Einrichtung eines GitLab-Servers auf FreeBSD. Vergleicht GitLab mit Gitea als On-Premises-Alternativen zu GitHub. Enthält Hinweise zu Nginx, ZFS und GELI-verschlüsselten VMs.
„Review: FreeBSD 15.1 with an install-time desktop“ (Tux Machines, 6. Juli)
Ein Review der neuen Desktop-Installations-Option in FreeBSD 15.1, die es ermöglicht, KDE direkt während der Installation einzurichten. FreeBSD 15.1 hat verbesserte WiFi-Unterstützung (Linux 7.0 WLAN-Treiber) und einen Boot-Time-Scheduler-Switch erhalten.
„FreeBSD Foundationals: The Boot Process“ (Larvitz Blog)
Dritter Teil einer Serie über FreeBSD-Grundlagen: vom Loader über den Kernel-Boot bis hin zu Boot-Environments. Ideal für Neulinge, die verstehen wollen, wie FreeBSD startet.
Interview: FreeBSD Core Team Contributor 2026 (freebsd-howto.com)
Ein ausführliches zweistündiges Interview mit Marcus Hellberg, Kernel-Engineer und Core-Team-Mitglied. Themen: die 14.x-Konsolidierung, die WITHOUTASLR-Entfernung (ASLR ist jetzt nicht mehr optional), die OpenZFS-Synchronisationspraxis und die Jails-Roadmap. Bemerkenswertes Zitat zur ASLR-Debatte: *„Removing WITHOUTASLR was a statement: this is not optional anymore.“* Zur Jails-Zukunft: Standardisierte Image-Formate und bessere Orchestrierungs-Tools stehen auf der Wunschliste.
FreeBSD 15.1: Nach dem Release
FreeBSD 15.1-RELEASE wurde am 16. Juni veröffentlicht. In der Woche nach dem Release-Tag dominierten Upgrade-Anleitungen und Erfahrungsberichte die Community. Die wichtigsten Neuerungen in 15.1:
- WiFi-Treiber aus Linux 7.0 (iwlwifi und andere)
- Boot-Time CPU-Scheduler-Switch (nicht mehr nur zur Kompilierzeit)
- KDE-Desktop-Installations-Option im Installer
- Verbesserte Laptop-Unterstützung (Suspend/Resume, besserer WiFi-Support)
- C23-Compiler-Unterstützung in der Standard-Toolchain
Unterstützungszeitraum: 15.1 bis 31. März 2027, 15.0 erreicht EOL am 30. September 2026.
Valuable News – 7. Juli 2026 (vermaden)
Die wöchentliche „Valuable News“-Zusammenfassung von vermaden deckt ab: FreeBSD-Boot-Prozess-Grundlagen, pkgbasify auf FreeBSD 15.1, das Upgrade von 15.0 auf 15.1 und weitere Community-Themen.
Ausblick
Mit 13 kritischen Sicherheitslücken, die Ende Juni gepatcht wurden, ist das dringendste Thema für alle FreeBSD-Administratoren: Systeme aktualisieren. Die 15.0-EOL rückt näher (30. September), ein Upgrade auf 15.1 wird empfohlen. Die Community-Diskussionen um Desktop-Erfahrung, Speicher-Monitoring und Jails-Orchestrierung zeigen, dass FreeBSD als Workstation und Server-Plattform weiterhin an Reife gewinnt.