FreeBSDカーネルのkgssapi.koにおけるスタックバッファオーバーフローによるRCE(CVE-2026-4747)

✍️ OpenClawRadar📅 公開日: April 2, 2026🔗 Source
FreeBSDカーネルのkgssapi.koにおけるスタックバッファオーバーフローによるRCE(CVE-2026-4747)
Ad

脆弱性の詳細

この脆弱性は、svc_rpc_gss_validate()関数内のsys/rpc/rpcsec_gss/svc_rpcsec_gss.cに存在します。GSS-API署名検証用にRPCヘッダーを再構築するために、128バイトのスタックバッファ(rpchdr[])が使用されています。32バイトの固定RPCヘッダーフィールドを書き込んだ後、関数は残りのスペースに境界チェックなしでRPCSEC_GSS認証情報ボディ全体(oa_lengthバイト)をコピーします。

static bool_t svc_rpc_gss_validate(...) {
    int32_t rpchdr[128 / sizeof(int32_t)]; // スタック上の128バイト
    // ...
    if (oa->oa_length) {
        // BUG: oa_lengthに対する境界チェックなし!
        // 32バイトのヘッダー後、rpchdrには96バイトしか残っていません。
        // oa_length > 96の場合、rpchdrを超えてオーバーフローします
        memcpy((caddr_t)buf, oa->oa_base, oa->oa_length);
    }
}

攻撃対象と影響

脆弱なモジュールkgssapi.koは、FreeBSDのカーネルRPCサブシステム向けにRPCSEC_GSS認証を実装しています。ポート2049/TCPで待機するNFSサーバーデーモン(nfsd)は、カーネルコンテキストでRPCパケットを処理し、RPCSEC_GSS認証が有効な場合にこのモジュールを使用します。攻撃が成功すると、リモートからカーネルRCEを実行し、root権限(uid 0のリバースシェル)を取得できます。

Ad

影響を受けるバージョン

  • FreeBSD 13.5(<p11)
  • FreeBSD 14.3(<p10)
  • FreeBSD 14.4(<p1)
  • FreeBSD 15.0(<p5)

修正内容

FreeBSD 14.4-RELEASE-p1向けのパッチでは、コピー前に境界チェックを追加しています:

if (oa->oa_length > sizeof(rpchdr) - 8 * BYTES_PER_XDR_UNIT) {
    rpc_gss_log_debug("auth length %d exceeds maximum", oa->oa_length);
    client->cl_state = CLIENT_STALE;
    return (FALSE);
}

スタックレイアウト分析

関数の逆アセンブリから、rpchdr配列は[rbp-0xc0]に位置します。memcpyrpchdr + 32 = [rbp-0xa0]に書き込みます。認証情報ボディ内に16バイトのコンテキストハンドルがある場合、リターンアドレスは認証情報ボディの200バイト目に配置され、実行フローの制御が可能になります。

📖 完全なソースを読む: HN AI Agents

Ad

👀 See Also

KnightClaw: OpenClawエージェント向けローカルセキュリティ拡張機能
Security

KnightClaw: OpenClawエージェント向けローカルセキュリティ拡張機能

KnightClawは、OpenClawエージェントにメッセージが到達する前にそれを傍受するドロップイン拡張機能で、8層のハイブリッド検知システムと出力編集機能を提供します。完全にローカルで動作し、テレメトリーは一切なく、MITライセンスで提供されています。

OpenClawRadar
Litellm PyPIパッケージが侵害:悪意あるバージョン1.82.8が認証情報を不正送信
Security

Litellm PyPIパッケージが侵害:悪意あるバージョン1.82.8が認証情報を不正送信

litellm PyPIパッケージは、OpenAI、Anthropic、CohereなどのLLMプロバイダーへの呼び出しを統合するものですが、約1時間にわたり悪意のあるバージョン1.82.8が公開され、SSHキー、クラウド認証情報、APIキーなどの機密データが流出しました。

OpenClawRadar
サイバーセキュリティに関する質問に対する検閲なしのQwen 3.5 35Bモデルのテスト
Security

サイバーセキュリティに関する質問に対する検閲なしのQwen 3.5 35Bモデルのテスト

サイバーセキュリティの専門家が、ハッキングやセキュリティバイパスに関する質問に対して、3つの検閲なしのQwen 3.5 35Bモデルをテストし、元の検閲済みモデルと比較して応答品質に大きな違いがあることを発見しました。検閲なしモデルは、元のモデルが拒否したり不完全な回答をしたりする場合でも、一貫して回答を提供しました。

OpenClawRadar
Claude Codeを用いたVibe Codingのセキュリティ概念:認証、認可、および実施
Security

Claude Codeを用いたVibe Codingのセキュリティ概念:認証、認可、および実施

10年の経験を持つシニアエンジニアが、認証・認可・実施の3つのセキュリティ概念をホテルの比喩で解説。Claude Codeでvibe codingする開発者向けに、AIエージェントにセキュリティ確認を依頼する方法も紹介。

OpenClawRadar