FreeBSD: Rechteausweitungslücke mit augenzwinkerndem Codenamen

In Linux haben kürzliche Rechteausweitungslücken für Furore gesorgt, die insbesondere mit schönen Codenamen wie „CopyFail“, „DirtyFrag“ sogar mit eigenem Logo oder „Fragnesia“ Aufmerksamkeit erregten. IT-Sicherheitsforscher haben diese Schwachstellenklasse nun auch in FreeBSD entdeckt. Und mit einem Augenzwinkern den Codenamen „Bumsrakete[tm]“ dafür vergeben – laut Erklärung eine Rakete, die Bumm macht, Feuerwerk ist gemeint.

Auf einer eigens dafür eingerichteten Webseite mit der Domain bumsrake.de erklären sie Details der Schwachstelle. Dabei schießen sie satirisch ein wenig über das Ziel hinaus und haben den Text in Donald-Trump-Sprachstil verfasst. Im Kern geht es jedoch darum, dass auch in FreeBSD aufgrund der Sicherheitslücke der Page Cache von Dateien im Speicher manipuliert werden kann, wodurch Angreifer etwa eine root-Shell öffnen können. Der Kernel nutzt mehrere Prüfungen, die allerdings aufgrund einiger Einschränkungen schlicht nicht greifen. Ähnlich wie unter Linux ist auch in FreeBSD Kryptografiecode im Kernel Auslöser für die Schwachstelle, die Beschreibung weist auf die AES-GCM-Entschlüsselung im Rahmen von Kernel TLS (KTLS) hin (CVE-2026-45257).

Laut FreeBSD-Sicherheitsmitteilung können lokale Nutzer ohne weiterreichende Rechte im System, die Dateien lesen, deren Inhalt mit eigenem Content überschreiben, indem sie die Datei über eine Loopback-Verbindung mit aktiviertem KTLS schicken. Das verändert den Page Cache direkt, die Daten werden aufs Laufwerk geschrieben. Durch das Überschreiben von setuid-Binärdateien oder anderen vertrauenswürdigen Dateien gelingt dann die Rechteausweitung. Die komplette Übernahme des Systems ist möglich. Die IT-Forscher stellen auch einen Demo-Exploit bereit – IT-Verantwortliche sollten daher zügig ihre FreeBSD-Systeme absichern.

Aktualisierte Software verfügbar

Durch das Upgrade der FreeBSD-base lässt sich die Lücke im aktuellen Zweig FreeBSD 15.0-RELEASE schließen. Der Aufruf

# pkg upgrade -r FreeBSD-base
# shutdown -r +10min "Rebooting for a security update"

erledigt das. Auf Systemen, die nicht mit den base-Systempaketen aufgesetzt wurden, soll

# freebsd-update fetch
# freebsd-update install
# shutdown -r +10min "Rebooting for a security update"

Abhilfe schaffen. Es stehen zudem Quellcode-Patches bereit, die Admins anwenden können. Die Entdecker der Schwachstelle nennen als temporäre Gegenmaßnahme, bis ein neuer Kernel gebaut werden kann, das Setzen der Einstellung kern.ipc.mb_use_ext_pgs=0 in der Datei „/etc/sysctl.conf“. Das FreeBSD-Team wiederholt diesen Tipp jedoch nicht.

Betroffen sind FreeBSD 15.0, 14.x und 13.x. Die Versionen 12.x enthalten den verwundbaren Code noch nicht. Die Sicherheitsupdates stehen derzeit für FreeBSD 14.3, 14.4, und 15.0 sowie dem Release-Kandidaten von 15.1 zur Verfügung. IT-Verantwortliche sollen gegebenenfalls auf die unterstützten FreeBSD-Versionen migrieren.

Seitenhieb auf Aufmerksamkeitsökonomie

Die Aufbereitung der Lücke als „Bumsrakete“ ist ein bissiger Seitenhieb auf die überhand nehmende Aufmerksamkeitsökonomie, wodurch Entdecker von Schwachstellen regelrechten Marketing-Aufwand treiben und den aufgedeckten Schwachstellen prägnante Namen geben oder schöne Logos dazu bauen. Die Vermischung des Ganzen mit Trump-Stil oder der Nutzung der Schriftart Comic Sans untermauert das. Die CVSS-Score-Berechnung zur Einschätzung des Risikos nutzen die Hinterleute auch gleich, um sich darüber lustig zu machen: Auf die mehrfache satte Höchstwertung 10 kommt noch ein Wert +3 hinzu: CVSS 13 von 10! Der auf „bumsrake.de“ angenommene Angriffsvektor ergibt hingegen einen realen CVSS-Wert von 9.3, was dem Risiko „kritisch“ entspricht.

(dmk)