FreeBSD Wochenrückblick: 4.–11. Mai 2026

Thorsten Geppert Betriebssysteme, FreeBSD, IT

Die vergangene Woche war eine der ereignisreichsten im FreeBSD-Projekt seit langem: Zwei Beta-Releases, ein massiver Security-Advisory-Bundle, aufsehenerregende KI-gestützte Schwachstellenfunde und ein neuer Blogpost zum pkgbase-Upgrade-Pfad. Hier ist der Überblick.

FreeBSD 15.1: Beta 1 und Beta 2 veröffentlicht

Der Release-Zyklus für FreeBSD 15.1 nimmt Fahrt auf. Nachdem Colin Percival am 2. Mai 15.1-BETA1 angekündigt hat, folgte bereits am 8. Mai 15.1-BETA2 — der wöchentliche Rhythmus wird eingehalten.

Änderungen in Beta 2 (gegenüber Beta 1)

  • Zstd auf 1.5.7 aktualisiert — aktuelle Upstream-Kompressionsunterstützung
  • less auf v692 aktualisiert
  • bsdinstall nutzt jetzt konsistent pkg.FreeBSD.org für Package-Bootstrap-Operationen
  • nuageinit parst user_data nur noch bei Bedarf als YAML
  • rtadvd(8) beachtet jetzt pltime und vltime in Interface-Deklarationen
  • Diverse Userland-Bugfixes: ifconfig(8), lockf(1), stat(1), tail(1), certctl(8)
  • Kernel-Bugfixes: nullfs, so_splice, vt(4)
  • Verschiedene Manual-Page- und Test-Korrekturen

Verfügbare Architekturen

Images gibt es für amd64, powerpc64, powerpc64le, armv7, aarch64 (inkl. RPI, PINE64, ROCK64-Varianten) und riscv64. Zusätzlich stehen VM-Disk-Images (QCOW2, VHD, VMDK, Raw), OCI-Container-Images (static, dynamic, runtime, notoolchain, toolchain) und Amazon-EC2-AMIs zur Verfügung.

Zeitplan

  • Beta 3 wird für nächste Woche erwartet
  • Release Candidate die Woche darauf
  • 15.1-RELEASE am 2. Juni 2026 — sofern alles planmäßig verläuft

Schwerwiegende Sicherheitslücken — 8 Advisories am 29. April

Am 29. April veröffentlichte FreeBSD einen ganzen Schwung an Security Advisories, die in dieser Woche breit diskutiert wurden:

AdvisoryModulBeschreibungSchwere
SA-26:11amd64Fehlende Large-Page-Verarbeitung in pmap_pkru_update_range()Hoch
SA-26:12dhclientRemote Code Execution über bösartige DHCP-Optionen (CVE-2026-42511)Kritisch
SA-26:13execveLokale Privilegieneskalation über execve(2)Hoch
SA-26:14pfStack-Overflow beim Parsen manipulierter SCTP-PaketeHoch
SA-26:15dhclientRemote auslösbbarer Out-of-Bounds-Heap-Write in dhclientKritisch
SA-26:16libnvStack-Overflow über select()-File-Descriptor-Set-OverflowHoch
SA-26:17libnvHeap-Overflow in libnvHoch

Zusätzlich wurde am 1. Mai EN-26:11 veröffentlicht: Eine Errata-Notice, die ein zu striktes dhclient-Lease-Validation-Verhalten korrigiert — ein Nebenprodukt der Security-Fixes.

Der 21 Jahre alte dhclient-RCE (CVE-2026-42511)

Besonders bemerkenswert: Die Schwachstelle in dhclient (SA-26:12) existierte seit über 20 Jahren im Code. Das BOOTP-Dateifeld wurde ohne Escaping von eingebetteten Doppelquotes in die Lease-Datei geschrieben, was die Injektion beliebiger dhclient.conf-Direktiven ermöglichte — und damit Remote Code Execution nach einem Systemneustart.

KI-gestützte Schwachstellenforschung: AISLE vs. Anthropic Mythos

Am 7. Mai veröffentlichte die Firma AISLE einen Blogpost, der für Aufsehen sorgte: Ihr Multi-Modell-System hatte drei kritische Schwachstellen in FreeBSD entdeckt — unabhängig von und parallel zu den Funden, die Anthropics „Claude Mythos“ gemacht hatte.

AISLEs Funde:

  1. Den 21 Jahre alten dhclient-RCE (CVE-2026-42511)
  2. Einen remoten auslösbaren Heap-Buffer-Overflow in dhclient
  3. Einen Stack-Buffer-Overflow in ping6 (lokale Privilegieneskalation)

Alle drei wurden am 13. April entdeckt, am 14. April gemeldet und am 29. April gepatcht.

Interessant ist die Debatte, die AISLE mit ihrem Fund anstößt: KI-gestützte Sicherheitssysteme können auch mit kleineren, günstigeren Modellen sehr effektiv arbeiten — ein gut designtes System schlägt reine Skalierung durch größere Modelle. AISLE verweist auf ihre Studie, dass Sicherheitsfähigkeit „zerklüftet“ (jagged) ist: Kleine Modelle können bei vielen sicherheitsrelevanten Aufgaben größere übertreffen.

FreeBSD Foundation: „Cleaning Up Critical Infrastructure“

Am 20. April (in dieser Woche noch stark rezipiert) veröffentlichte die FreeBSD Foundation einen ausführlichen Blogpost über das Alpha-Omega Beach Cleaning Project. Kernpunkte:

  • OpenSSL 3.5 LTS wurde rechtzeitig für FreeBSD 15.0 integriert — das avoids einen Unsupported-Fork von OpenSSL 3.0 (EOL September 2026) für über vier Jahre
  • Eine maschinenlesbare Inventarisierung des Basissystems wurde erstellt: über 1.000 Komponenten in einer YAML-basierten Datenbank, darunter 73 Third-Party-Importe
  • SBOM-Generierung über SPDX 2 und SPDX 3 Formate
  • CODEOWNERS-artige Reports für bessere Wartungszuständigkeit
  • Vorbereitung für den Import von pkg ins Basissystem als Teil der pkgbase-Transition

Vermaden: PKGBASE Minor Upgrades mit ZFS Boot Environments

Am 10. Mai veröffentlichte der bekannte FreeBSD-Blogger Vermaden einen praktischen Leitfaden für Minor-Upgrades (z. B. 15.0 auf 15.1) mit PKGBASE und ZFS Boot Environments. Da PKGBASE noch als experimentell markiert ist und freebsd-update(8) für Minor-Releases nicht mehr verfügbar ist, zeigt er zwei Methoden:

  1. Klassische Methode: Neue ZFS BE erstellen, chroot, pkg.repo konfigurieren, pkg upgrade -r FreeBSD-base
  2. Alternative Methode: Nutzung von pkg --chroot und ABI/OSVERSION-Overrides ohne manuelles devfs-Mounting

Beide Methoden erlauben ein sicheres Rollback über ZFS Boot Environments, falls das Upgrade Probleme verursacht.

Q1 2026 Status Report: 45 Einträge

Der FreeBSD Status Report für das erste Quartal 2026 wurde am 23. April veröffentlicht — mit rekordträchtigen 45 Einträgen. Highlights:

  • Cyber Resilience Act (CRA) Readiness Project — Vorbereitung auf EU-Regulierung
  • amd64 FRED-Unterstützung — neue CPU-Flexibilitätsfeatures
  • LinuxKPI 802.11 und Native Wireless Update — Fortschritte bei WiFi-Treibern
  • Suspend/Resume- und Hibernate-Verbesserungen
  • Sylve — eine einheitliche Systemmanagement-Plattform für FreeBSD
  • daemonless — native FreeBSD OCI-Container ohne Daemon
  • KDE auf FreeBSD — Fortschritte bei Plasma 6 und Wayland
  • FreeBSD auf EC2 und STACKIT Cloud Integration
  • bhyve: Full CPUID Control, Management GUI

Ausblick

Mit Beta 3 in der kommenden Woche und dem Release Candidate danach rückt FreeBSD 15.1-RELEASE am 2. Juni schnell näher. Wer auf unterstützten Versionen läuft, sollte die Security-Advisories vom 29. April dringend einspielen — insbesondere den kritischen dhclient-RCE. Und für alle, die pkgbase testen, liefert Vermadens Anleitung einen guten Ausgangspunkt.

Links:

Schreibe einen Kommentar