ASA-2019-00510 – FreeBSD bhyve: Validação insuficiente de dados fornecidos por guest (e1000 device)

Os adaptadores de rede e1000 permitem uma variedade de modificações em um pacote Ethernet quando este está sendo transmitido. Isso inclui a inserção de checksums IP e TCP, a inserção de um cabeçalho Ethernet VLAN e TCP segmentation offload (“TSO”). O dispositivo e1000 usa um buffer na stack para gerar o cabeçalho de pacote modificado ao simular essas modificações nos pacotes transmitidos. Quando o TCP segmentation offload é solicitado para um pacote transmitido, o e1000 usa um valor fornecido pelo guest para determinar o tamanho do buffer na stack sem validação. A geração de cabeçalho subseqüente pode estourar o buffer de tamanho incorreto ou acesso ao ponteiro composto por dados aleatórios na stack. Um guest bhyve que se comporte erroneamente pode sobrescrever memória no processo bhyve sendo executado no host.

ASA-2019-00509 – FreeBSD: Validação insuficiente do tamanho da mensagem na biblioteca bsnmp

A função responsável por extrair o tamanho da codificação type-length-value não está validando corretamente o valor submetido. Um usuário poderia executar out-of-bounds read, decodificação de dados não relacionados, ou acionando um crash na aplicação, como bsnmpd, resultando em negação de serviço (DoS).

ASA-2019-00508 – FreeBSD: Out-of-bounds em acesso a memória em ICMPv6 / MLDv2

O caminho de entrada de um pacote ICMPv6 trata de forma incorreta casos em que um pacote MLDv2 listener query é internamente fragmentado através de múltiplos mbufs. Um usuário pode causar out-of-bounds reads  e out-of-bounds write do buffer e fazer com que o kernel tente acessar uma página de memória não mapeada e causar panic.

ASA-2019-00507 – FreeBSD: Múltiplas vulnerabilidades em bzip2

O descompactador usado no bzip2 contém um bug que pode levar a out-of-bounds write ao processar um arquivo bzip2(1). O bzip2recover contém um heap-based use-after-free que pode ser acionado durante o processamento de um arquivo bzip2(1). Um usuário mal-intensionado pode criar  arquivos maliciosos que podem acionar um desses bugs. A falha do bzip2recover pode causar negação de serviço (DoS). O bug no descompressor do bzip2 pode potencialmente ser explorado para executar código arbitrário. Observe que alguns utilitários, incluindo o compactador tar(1) e o utilitário de correção de binários bspatch(1) (usado em portsnap(8) e freebsd-update(8)) descompactam dados compactados com bzip2(1) internamente; os administradores de sistema devem assumir que seus sistemas irão, em algum momento, descompactar os dados compactados com bzip2(1), mesmo que nunca invoquem explicitamente o utilitário bunzip2(1).

ASA-2019-00472 – FreeBSD: Vazamento de contador de referência de descritor de arquivo

Se um processo tentar transmitir direitos sobre um socket UNIX-domain e um erro fizer com que a tentativa falhe, as referências adquiridas nos direitos não serão liberadas e vazarão. Esse bug pode ser usado para fazer com que o contador de referências fique livre e libere a estrutura de arquivo correspondente. Um usuário local pode explorar o bug para obter privilégios de root ou escapar de uma jail.