漏洞概述 | |||
漏洞名称 | FreeBSD KTLS 本地权限提升漏洞 | ||
漏洞编号 | QVD-2026-33009,CVE-2026-45257 | ||
公开时间 | 2026-06-09 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 7.1 |
威胁类型 | 权限提升 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以利用该漏洞,将任意数据写入其有读权限的任何文件(包括设置了不可变标志 schg 的文件),通过覆盖 setuid 二进制文件(如 /usr/bin/su)实现本地权限提升,从而获取系统最高控制权。 | |||
01 漏洞详情
影响组件
FreeBSD 是一款类 Unix 开源操作系统,以其高性能、高稳定性和先进的网络功能著称,广泛应用于服务器、网络设备、嵌入式系统以及云计算基础设施中。FreeBSD 内核 TLS(kTLS)功能允许在操作系统内核层面处理 TLS 加密和解密操作,旨在减少用户态与内核态之间的数据拷贝开销,从而提升网络 I/O 性能。sendfile(2) 系统调用是 FreeBSD 中用于高效文件传输的核心机制,通过直接将文件数据从页面缓存映射到网络套接字,避免了传统 read/write 模式下的多次数据拷贝。
漏洞描述
近日,奇安信CERT监测到官方修复FreeBSD KTLS 本地权限提升漏洞(CVE-2026-45257),该漏洞源于 KTLS 接收路径在解密数据时,错误地假设接收数据的 mbuf 缓冲区是匿名且可安全修改的。然而,当数据通过 sendfile(2) 系统调用传输时,mbuf 可能直接引用文件 -backed 的内存页。攻击者通过构造特定的本地网络请求,在数据解密过程中直接覆盖文件在页缓存中的内容。攻击者可以利用该漏洞,将任意数据写入其有读权限的任何文件(包括设置了不可变标志 schg 的文件),通过覆盖 setuid 二进制文件(如 /usr/bin/su)实现本地权限提升,从而获取系统最高控制权。该漏洞被描述为 FreeBSD 版的“Dirty Pipe”漏洞。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
利用条件
1.系统架构为 amd64/arm64/riscv(支持 PMAP_HAS_DMAP 内核直接内存映射);
2.内核默认启用 kern.ipc.mb_use_ext_pgs=1(出厂默认开启);
3.内核编译开启 MK_KERN_TLS(GENERIC 通用内核默认启用 KTLS 模块);
4.攻击者拥有本地普通用户权限。
02 影响范围
影响版本
FreeBSD 13.0、13.1、13.2、13.3、13.4
FreeBSD 14.0、14.1、14.2
FreeBSD 15.0-RELEASE(含 15.0-RELEASE-p5/amd64 已确认受影响)
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现FreeBSD KTLS 本地权限提升漏洞(CVE-2026-45257),截图如下:
04 受影响资产情况
奇安信鹰图资产测绘平台数据显示,FreeBSD KTLS 本地权限提升漏洞(CVE-2026-45257)关联的国内风险资产总数为6585个,关联IP总数为1412个。国内风险资产分布情况如下:
FreeBSD KTLS 本地权限提升漏洞(CVE-2026-45257)关联的全球风险资产总数为142221个,关联IP总数为31597个。全球风险资产分布情况如下:
05 处置建议
安全更新
官方已发布安全补丁,请及时将系统更新至以下修复后的版本或更高版本:
FreeBSD 14.4.* >= 14.4-STABLE
FreeBSD 15.1.* >= 15.1-STABLE
FreeBSD 14.3.* >= 14.3-RELEASE-p15
FreeBSD 14.4.* >= 14.4-RELEASE-p6
FreeBSD 15.0.* >= 15.0-RELEASE-p10
FreeBSD 15.1.* >= 15.1-RC3-p1
升级方式:
1.二进制更新
freebsd-update fetch
freebsd-update install
2.源码更新
下载官方补丁:
https://security.FreeBSD.org/patches/SA-26:26/ktls.patch
验证签名后应用补丁并重新编译系统。
临时缓解措施:
1.禁用 KTLS:执行命令 sysctl kern.ipc.tls.enable=0,完全关闭内核TLS功能。
2.禁用 EXTPG sendfile:执行命令 sysctl kern.ipc.mb_use_ext_pgs=0,禁用 EXTPG sendfile 快速路径。
06 参考资料
[1]https://www.freebsd.org/security/advisories/FreeBSD-SA-26:26.ktls.asc
[2]https://seclists.org/oss-sec/2026/q2/881
[3]https://bumsrake.de/
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
