Die Woche war geprägt von gleich zwei kritischen Security Advisories, dem Erscheinen des umfangreichen Q1-Statusberichts und dem Startschuss für den 15.1-Release-Zyklus. Außerdem rückt das End-of-Life für FreeBSD 13 näher — Zeit zum Handeln für alle, die noch auf dieser Version sitzen.
Zwei Security Advisories am selben Tag
Am 21. April veröffentlichte das FreeBSD Security Team zwei Advisories, die beide von Nicholas Carlini mithilfe von Claude (Anthropic) entdeckt wurden. Dass ein KI-gestützter Fuzzing-Ansatz zwei unabhängige Kernel-Bugs aufdeckt, ist bemerkenswert und deutet auf eine neue Ära in der Sicherheitsforschung hin.
SA-26:10.tty — Use-After-Free im TIOCNOTTY-Handler (CVE-2026-5398, HIGH 8.4)
Der TIOCNOTTY-ioctl erlaubt es einem Prozess, sich von seinem kontrollierenden Terminal zu lösen. Die Implementierung bereinigte jedoch nicht den Rückzeiger von der Terminal-Struktur zur Session des aufrufenden Prozesses. Wenn der Prozess danach beendet wird, bleibt ein Dangling Pointer im Kernel zurück — und ein böswilliger Prozess kann diesen nutzen, um sich Root-Privilegien zu verschaffen.
Betroffen sind alle unterstützten FreeBSD-Versionen (13.5, 14.3, 14.4, 15.0). Es gibt keinen Workaround — ein Update und Reboot sind zwingend erforderlich.
SA-26:11.amd64 — Fehlende Large-Page-Behandlung in pmap_pkru_update_range() (CVE-2026-6386)
Die Funktion pmap_pkru_update_range() aktualisiert Page-Tabellen-Einträge, wenn Memory Protection Keys (PKRU) auf einen Adressbereich angewendet werden. Sie berücksichtigte jedoch nicht die Anwesenheit von 1GB-Largepage-Mappings, die über shm_create_largepage() erzeugt wurden. Statt einen Page-Directory-Eintrag korrekt als Largepage zu erkennen, wurde er als Zeiger auf eine weitere Page-Table-Page interpretiert.
Die Konsequenz: Ein unprivilegierter Nutzer kann den Kernel dazu bringen, Userspace-Memory als Page-Table zu behandeln und so Speicher zu überschreiben, auf den er eigentlich keinen Zugriff haben sollte. Auch hier: Alle Versionen betroffen, kein Workaround, Update erforderlich.
Fazit: Wer amd64-Systeme betreibt, sollte umgehend patchen. Beide Bugs sind lokal ausnutzbar, SA-26:10 sogar zur Rechteausweitung auf Root. Der Hinweis auf KI-gestütztes Fuzzing als Entdeckungsquelle ist ein klares Signal: Die Angreifer nutzen diese Werkzeuge bereits — die Verteidiger müssen es auch.
Q1 2026 Status Report: 45 Einträge
Am 22. April erschien der Q1 2026 Status Report mit 45 Einträgen — der erste unter einem neu durchgesetzten, strengen Redaktionsschedule. Die Highlights:
Alpha-Omega Beach Cleaning
Die FreeBSD Foundation setzt ihr Beach-Cleaning-Projekt fort, finanziert durch die Alpha-Omega-Initiative der Linux Foundation. Ziel: Sicherheitslücken in Drittanbieter-Software des Basissystems finden und beheben — proaktiv, nicht reaktiv. Das Repository umfasst Build-Infrastruktur und Fuzzing-Setup für Komponenten wie libxml2, SQLite und weitere Base-System-Abhängigkeiten. Die Verbindung zu den beiden neuen SAs ist offensichtlich: Strukturiertes Fuzzing zahlt sich aus.
Cyber Resilience Act (CRA) Readiness
Die EU verabschiedete den Cyber Resilience Act — und FreeBSD muss sich darauf vorbereiten. Die Foundation hat ein dediziertes CRA-Readiness-Projekt gestartet, das monatliche Updates liefert. Kernfragen: Welche SBOM-Anforderungen treffen FreeBSD zu? Wie wird Vulnerability-Management dokumentiert? Für alle, die FreeBSD in EU-konformen Produkten einsetzen, ist dieses Projekt essenziell.
Laptop Testing & Integration
Das Laptop Integration Testing Project hat eine Python-Anwendung vorgestellt, die FreeBSD-Kompatibilität auf Laptops automatisiert testet. Die Foundation bittet die Community, Hardware-Probes einzusenden, um eine öffentliche Kompatibilitätsmatrix aufzubauen. Fortschritte gab es auch bei:
- S0ix (Modern Standby): Suspend/Resume-Unterstützung für moderne Laptops
- Hibernate (Suspend-to-Disk): Weiter in Entwicklung
- CPPC: AMD CPPC-Unterstützung für Zen 2+ Prozessoren (als Out-of-Tree-Modul verfügbar)
- Intel FRED: Konstantin Belousov (kib) hat die ersten Patches für Intels Flexible Return and Event Delivery eingereicht — CPUID-, MSR- und CR4-Bits sind im Main, die vollständige FRED-Unterstützung steht zur Review
Sylvea v0.2.3
Das Verwaltungstool Sylvea erreichte Version 0.2.3 mit verbesserter Jail- und VM-Unterstützung. Ein leichtgewichtiges GUI für Bhyve, Jails, ZFS und Netzwerk — eine interessante Alternative zu webbasierten Tools wie TrueNAS.
HPC Initiative
FreeBSD bekommt Ports für Slurm, OpenMPI und UCX — High-Performance-Computing kommt auf der Plattform an. Das ist ein Nischen-, aber strategisch wichtiger Schritt.
Cloud
FreeBSD auf EC2 mit aktualisierten AMIs, plus eine neue STACKIT Cloud Integration (ein europäischer Cloud-Provider, der zur IAD-Gruppe gehört).
Ports-Updates
- KDE Plasma 6.6.3
- OpenJDK 21/25
- Wazuh 4.14.3 (Security Monitoring)
FreeBSD 15.1: Code Slush erreicht
Der 15.1-Release-Zyklus hat am 17. April den Code Slush erreicht — Commits auf den stable/15-Branch benötigen keine explizite Genehmigung mehr, aber neue Features sollten vermieden werden. Der weitere Zeitplan:
| Meilenstein | Datum |
|---|---|
| releng/15.1 Branch | 1. Mai 2026 |
| BETA1 | 1. Mai 2026 |
| BETA2 | 8. Mai 2026 |
| BETA3 | 15. Mai 2026 |
| RC1 | 22. Mai 2026 |
| RELEASE | 2. Juni 2026 |
15.0 erreicht End-of-Life am 30. September 2026. Stable/15 wird bis Ende 2029 unterstützt.
FreeBSD 13.5: EOL am 30. April
Wer noch FreeBSD 13.5 betreibt, hat weniger als eine Woche Zeit zum Upgrade. Am 30. April endet der Support — danach gibt es keine Security-Patches mehr. Die Release Engineering Team hat die wöchentlichen Snapshot-Builds für stable/13 bereits eingestellt.
Die Migration auf 14.4 oder 15.0 ist jetzt dringend. Insbesondere nach SA-26:10 und SA-26:11 wäre es fahrlässig, auf einer EOL-Version zu bleiben.
ZFS: Snapshot-Automount-Deadlock behoben
Hamza (ixhamza) hat zwei wichtige ZFS-Fixes beigesteuert:
- Snapshot-Automount-Deadlock bei gleichzeitigem
zfs recv— Wenn ein Snapshot automounted wird, während gleichzeitig einzfs recvläuft, konnte das System deadlocken. Der Fix reorganisiert die Locking-Reihenfolge. - AVL-Tree-Panic bei Snapshot-Automount-Race — Eine Race-Condition beim parallelen Mounten von Snapshots konnte einen AVL-Tree-Panic auslösen. Gelöst durch Umstellung auf AVL-Lookup statt Linear-Scan.
Zusätzlich gab es einen Fix für einen Memory Leak in zfsctl_snapshot_mount — die Options-Struktur wurde nicht korrekt freigegeben.
Für alle, die zfs recv im Betrieb nutzen (und das sollte jeder tun, der Replication einsetzt), sind diese Fixes relevant. Der Deadlock trat in der Praxis auf, wie ein offener Issue (#18073) zeigt.
BastilleBSD plant Einstellung
BastilleBSD hat Pläne angekündigt, einen teilzeit FreeBSD/Bastille-Sysadmin (ca. 20 Std./Woche) einzustellen — Fokus auf EMEA/APAC-Zeitzonen. Der Start ist für Mitte/Ende 2026 geplant, in Zusammenarbeit mit dem Bastille-Gründer an einem Cybersecurity-Startup. Ein Zeichen dafür, dass das Jail-Management-Ökosystem professionalisiert wird.
TopBar: Desktop-Umgebung für Wayland
Auf DiscoverBSD wurde TopBar vorgestellt — eine anpassbare Desktop-Umgebung, die mit Quickshell und QML für Wayland-Compositoren wie MangoWM und Hyprland gebaut wird. Sie integriert Statusleiste, App-Launcher, Lockscreen und Wallpaper-Management in ein einziges kohärentes System. Für FreeBSD-Laptop-Nutzer, die Wayland nutzen wollen, eine interessante Entwicklung.
ZFS Performance-Optimierung ohne neue Hardware
Ein Artikel auf DiscoverBSD fasst ZFS-Performance-Tipps zusammen, die ohne Hardware-Investitionen auskommen:
- Recordsize an Workload anpassen (16K für Datenbanken, 1M–4M für Storage)
- LZ4-Kompression aktivieren — reduziert oft I/O-Overhead statt ihn zu erhöhen
- Pool-Topologie: Breite RAIDz-Konfigurationen durch gespiegelte VDEVs ersetzen für mehr Parallelität
- Prefetch deaktivieren bei Random-Access-Workloads (Datenbanken)
Nichts Neues für ZFS-Veteranen, aber eine brauchbare Zusammenfassung für Einsteiger.
Was diese Woche bedeutet
Zwei kritische SAs in einer Woche, beide von KI-gestütztem Fuzzing entdeckt — das ist ein Weckruf. Die Werkzeuge werden besser, und die Angreifer nutzen sie auch. Der Q1-Statusbericht zeigt ein gesundes Projekt: Laptop-Support wächst, HPC kommt an, die CRA-Vorbereitung ist professionell. Und mit dem Code Slush für 15.1 rückt die nächste Release näher.
Wer noch auf 13.5 sitzt: Jetzt upgraden. Wer 15.0 oder 14.4 läuft: Jetzt patchen. Alles andere ist fahrlässig.