WID-SEC-W-2025-0224
Vulnerability from csaf_certbund - Published: 2025-01-29 23:00 - Updated: 2025-01-29 23:00Summary
FreeBSD Project FreeBSD OS: Mehrere Schwachstellen
Severity
Mittel
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: FreeBSD ist ein Open Source Betriebssystem aus der BSD Familie und gehört damit zu den Unix Derivaten.
Angriff: Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen im FreeBSD Project FreeBSD OS ausnutzen, um eine Denial-of-Service-Attacke durchzuführen oder Informationen auszuspähen.
Betroffene Betriebssysteme: - Linux
- UNIX
Es existiert eine Schwachstelle in FreeBSD Project FreeBSD OS. Die Schwachstelle ist auf einen Pufferüberlauf zurückzuführen, der in 64-Bit-Systemen, im Modul VOP_VPTOFH() auftritt, wenn bestimmte Dateisysteme (cd9660, tarfs, ext2fs) über NFS exportiert werden. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service zu verursachen.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
FreeBSD Project FreeBSD OS <13.4-STABLE
FreeBSD Project / FreeBSD OS
|
<13.4-STABLE | ||
|
FreeBSD Project FreeBSD OS <14.2-STABLE
FreeBSD Project / FreeBSD OS
|
<14.2-STABLE |
Es existiert eine Schwachstelle in FreeBSD Project FreeBSD OS. Sie führt dazu, dass beim Zusammenführen von Dateien Konflikte eine Version mit Konfliktmarkierungen in /var/db/etcupdate/conflicts gespeichert wird, die nicht den ursprünglichen, weltweit lesbaren Modus der Datei beibehält. Dies betrifft auch Dateien wie /etc/master.passwd, auf die normalerweise nur eingeschränkt zugegriffen werden kann. Ein lokaler Angreifer kann somit unbefugt Dateien auslesen.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
FreeBSD Project FreeBSD OS <13.4-STABLE
FreeBSD Project / FreeBSD OS
|
<13.4-STABLE | ||
|
FreeBSD Project FreeBSD OS <14.2-STABLE
FreeBSD Project / FreeBSD OS
|
<14.2-STABLE |
Es existiert eine Schwachstelle in FreeBSD Project FreeBSD OS. Das ktrace(2)-Modul ermöglicht das Schreiben von bis zu 14 Bytes nicht initialisierten Kernelspeichers in den Userspace. Ein lokaler Angreifer kann dadurch Benutzerinformationen auslesen.
Affected products
Known affected
2 products
| Product | Identifier | Version | Remediation |
|---|---|---|---|
|
FreeBSD Project FreeBSD OS <13.4-STABLE
FreeBSD Project / FreeBSD OS
|
<13.4-STABLE | ||
|
FreeBSD Project FreeBSD OS <14.2-STABLE
FreeBSD Project / FreeBSD OS
|
<14.2-STABLE |
References
5 references
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "FreeBSD ist ein Open Source Betriebssystem aus der BSD Familie und geh\u00f6rt damit zu den Unix Derivaten.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen im FreeBSD Project FreeBSD OS ausnutzen, um eine Denial-of-Service-Attacke durchzuf\u00fchren oder Informationen auszusp\u00e4hen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux\n- UNIX",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2025-0224 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0224.json"
},
{
"category": "self",
"summary": "WID-SEC-2025-0224 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0224"
},
{
"category": "external",
"summary": "FreeBSD Security Advisory vom 2025-01-29",
"url": "https://security.FreeBSD.org/advisories/FreeBSD-SA-25:02.fs.asc"
},
{
"category": "external",
"summary": "FreeBSD Security Advisory vom 2025-01-29",
"url": "https://security.FreeBSD.org/advisories/FreeBSD-SA-25:03.etcupdate.asc"
},
{
"category": "external",
"summary": "FreeBSD Security Advisory vom 2025-01-29",
"url": "https://security.freebsd.org/advisories/FreeBSD-SA-25:04.ktrace.asc"
}
],
"source_lang": "en-US",
"title": "FreeBSD Project FreeBSD OS: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2025-01-29T23:00:00.000+00:00",
"generator": {
"date": "2025-01-30T13:21:51.145+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.10"
}
},
"id": "WID-SEC-W-2025-0224",
"initial_release_date": "2025-01-29T23:00:00.000+00:00",
"revision_history": [
{
"date": "2025-01-29T23:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c13.4-STABLE",
"product": {
"name": "FreeBSD Project FreeBSD OS \u003c13.4-STABLE",
"product_id": "T038681"
}
},
{
"category": "product_version",
"name": "13.4-STABLE",
"product": {
"name": "FreeBSD Project FreeBSD OS 13.4-STABLE",
"product_id": "T038681-fixed",
"product_identification_helper": {
"cpe": "cpe:/o:freebsd:freebsd:13.4-stable"
}
}
},
{
"category": "product_version_range",
"name": "\u003c14.2-STABLE",
"product": {
"name": "FreeBSD Project FreeBSD OS \u003c14.2-STABLE",
"product_id": "T040689"
}
},
{
"category": "product_version",
"name": "14.2-STABLE",
"product": {
"name": "FreeBSD Project FreeBSD OS 14.2-STABLE",
"product_id": "T040689-fixed",
"product_identification_helper": {
"cpe": "cpe:/o:freebsd:freebsd:14.2-stable"
}
}
}
],
"category": "product_name",
"name": "FreeBSD OS"
}
],
"category": "vendor",
"name": "FreeBSD Project"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2025-0373",
"notes": [
{
"category": "description",
"text": "Es existiert eine Schwachstelle in FreeBSD Project FreeBSD OS. Die Schwachstelle ist auf einen Puffer\u00fcberlauf zur\u00fcckzuf\u00fchren, der in 64-Bit-Systemen, im Modul VOP_VPTOFH() auftritt, wenn bestimmte Dateisysteme (cd9660, tarfs, ext2fs) \u00fcber NFS exportiert werden. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Denial of Service zu verursachen."
}
],
"product_status": {
"known_affected": [
"T038681",
"T040689"
]
},
"release_date": "2025-01-29T23:00:00.000+00:00",
"title": "CVE-2025-0373"
},
{
"cve": "CVE-2025-0374",
"notes": [
{
"category": "description",
"text": "Es existiert eine Schwachstelle in FreeBSD Project FreeBSD OS. Sie f\u00fchrt dazu, dass beim Zusammenf\u00fchren von Dateien Konflikte eine Version mit Konfliktmarkierungen in /var/db/etcupdate/conflicts gespeichert wird, die nicht den urspr\u00fcnglichen, weltweit lesbaren Modus der Datei beibeh\u00e4lt. Dies betrifft auch Dateien wie /etc/master.passwd, auf die normalerweise nur eingeschr\u00e4nkt zugegriffen werden kann. Ein lokaler Angreifer kann somit unbefugt Dateien auslesen."
}
],
"product_status": {
"known_affected": [
"T038681",
"T040689"
]
},
"release_date": "2025-01-29T23:00:00.000+00:00",
"title": "CVE-2025-0374"
},
{
"cve": "CVE-2025-0662",
"notes": [
{
"category": "description",
"text": "Es existiert eine Schwachstelle in FreeBSD Project FreeBSD OS. Das ktrace(2)-Modul erm\u00f6glicht das Schreiben von bis zu 14 Bytes nicht initialisierten Kernelspeichers in den Userspace. Ein lokaler Angreifer kann dadurch Benutzerinformationen auslesen."
}
],
"product_status": {
"known_affected": [
"T038681",
"T040689"
]
},
"release_date": "2025-01-29T23:00:00.000+00:00",
"title": "CVE-2025-0662"
}
]
}
Loading…
Loading…
Experimental. This forecast is provided for visualization only and may change without notice. Do not use it for operational decisions.
Forecast uses a logistic model when the trend is rising, or an exponential decay model when the trend is falling. Fitted via linearized least squares.
Sightings
| Author | Source | Type | Date | Other |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…