FreeBSD是一款以高性能、高稳定性和安全性著称的开源类Unix操作系统,广泛应用于服务器、网络设备、嵌入式系统和桌面计算领域。
近日,监测到官方修复FreeBSD dhclient远程命令执行漏洞(CVE-2026-42511),由于写入BOOTP file字段到租约文件时未转义双引号,攻击者可通过恶意DHCP响应注入配置指令。当dhclient重新解析租约文件时,恶意指令会被root权限运行的dhclient-script脚本执行,攻击者只需与目标处于同一广播域并架设恶意DHCP服务器,即可实现远程代码执行并完全控制目标系统。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
FreeBSD 13.5.* < 13.5-RELEASE-p13
FreeBSD 14.3.* < 14.3-RELEASE-p12
FreeBSD 14.4.* < 14.4-RELEASE-p3
FreeBSD 15.0.* < 15.0-RELEASE-p7
三、修复建议
官方已发布安全补丁,请及时更新至安全版本:
FreeBSD 13.5.* >= 13.5-RELEASE-p13
FreeBSD 14.2.* >= 14.3-RELEASE-p12
FreeBSD 14.4.* >= 14.4-RELEASE-p3
FreeBSD 15.0.* >= 15.0-RELEASE-p7