製品・ソフトウェアに関する情報

JVN脆弱性詳細

FreeBSDにおける任意の場所に任意の値を書き込み可能な状態に関する脆弱性

Title	FreeBSDにおける任意の場所に任意の値を書き込み可能な状態に関する脆弱性
Summary	KTLSの受信パスは、受信データを保持するmbufが匿名であり、変更しても安全であると仮定して各レコードをその場で復号します。この仮定は、sendfile(2)によってソケットに配置されたデータには当てはまりません。sendfile(2)は、非匿名のM_EXTPGページやEXT_SFBUF mbufを介してファイルバックのメモリを直接参照することがあるためです。送信側でKTLSを有効にせず、ループバック接続上でそのようなデータが送信されると、ファイルバックのmbufは変更されずに受信者の復号パスに到達します。レコードをその場で復号すると、データのプライベートコピーではなく元となるファイルのページキャッシュが上書きされます。権限のないローカルユーザーは、読み取り可能なファイルを任意のデータで上書きでき、KTLS受信を有効にしたループバック接続でそのファイルを送信することでこれを実現します。この書き込みはページキャッシュを直接変更するため、schgなどのファイルフラグをバイパスしてディスクに書き戻されます。セットUIDバイナリやその他の信頼されたファイルを上書きすることで、ローカルユーザーは権限を昇格させ、影響を受けたシステムの完全な制御権を得る可能性があります。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 26, 2026, midnight
Registration Date	June 29, 2026, 11:26 a.m.
Last Update	June 29, 2026, 11:26 a.m.

CVSS3.0 : 重要
Score	7.8
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

FreeBSD

FreeBSD 14.3

FreeBSD 14.4

FreeBSD 15.0

FreeBSD 15.1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45257	https://www.cve.org/CVERecord?id=CVE-2026-45257
National Vulnerability Database (NVD)
2	CVE-2026-45257	https://nvd.nist.gov/vuln/detail/CVE-2026-45257

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-123	https://cwe.mitre.org/data/definitions/123.html

ベンダー情報

No	Name	URL
FreeBSD
1	https://security.freebsd.org/advisories/FreeBSD-SA-26:26.ktls.asc	https://security.freebsd.org/advisories/FreeBSD-SA-26:26.ktls.asc
Heise Medien
2	FreeBSD: Privilege Escalation Vulnerability with Tongue-in-Cheek Codename \| heise online	https://www.heise.de/en/news/FreeBSD-Privilege-Escalation-Vulnerability-with-Tongue-in-Cheek-Codename-11329109.html
Openwall mailing list archives
3	oss-security - CVE-2026-45257: FreeBSD kTLS-RX in-place AES-GCM decrypt over sendfile(2) EXTPG mbufs to page-cache write / local root	http://www.openwall.com/lists/oss-security/2026/06/10/20
4	oss-security - Re: CVE-2026-45257: FreeBSD kTLS-RX in-place AES-GCM decrypt over sendfile(2) EXTPG mbufs to page-cache write / local root	http://www.openwall.com/lists/oss-security/2026/06/10/21

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:26 a.m.

NVD Vulnerability Information

CVE-2026-45257

Summary	The KTLS receive path decrypted each record in place, assuming that the mbufs holding received data were anonymous and safe to modify. This assumption does not hold for data placed on a socket by sendfile(2), which can reference file-backed memory directly through non-anonymous M_EXTPG pages or EXT_SFBUF mbufs. When the sender transmits such data over a loopback connection without enabling KTLS on the transmit side, the file-backed mbufs reach the receiver's decryption path unchanged. Decrypting a record in place then overwrites the backing file's page cache instead of a private copy of the data. An unprivileged local user who can read a file can overwrite its contents with data of their choosing by sending the file over a loopback connection on which they have enabled KTLS receive. The write modifies the page cache directly, so it bypasses file flags such as schg and is written back to disk. By overwriting a setuid binary or other trusted file, a local user can escalate privileges, potentially gaining full control of the affected system.
Publication Date	June 27, 2026, 12:16 a.m.
Registration Date	June 27, 2026, 4:33 a.m.
Last Update	June 27, 2026, 2:16 p.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:freebsd:freebsd:14.3:-::::::
cpe:2.3:o:freebsd:freebsd:14.3:p1::::::
cpe:2.3:o:freebsd:freebsd:14.3:p10::::::
cpe:2.3:o:freebsd:freebsd:14.3:p11::::::
cpe:2.3:o:freebsd:freebsd:14.3:p12::::::
cpe:2.3:o:freebsd:freebsd:14.3:p13::::::
cpe:2.3:o:freebsd:freebsd:14.3:p14::::::
cpe:2.3:o:freebsd:freebsd:14.3:p2::::::
cpe:2.3:o:freebsd:freebsd:14.3:p3::::::
cpe:2.3:o:freebsd:freebsd:14.3:p4::::::
cpe:2.3:o:freebsd:freebsd:14.3:p5::::::
cpe:2.3:o:freebsd:freebsd:14.3:p6::::::
cpe:2.3:o:freebsd:freebsd:14.3:p7::::::
cpe:2.3:o:freebsd:freebsd:14.3:p8::::::
cpe:2.3:o:freebsd:freebsd:14.3:p9::::::
cpe:2.3:o:freebsd:freebsd:14.4:-::::::
cpe:2.3:o:freebsd:freebsd:14.4:p1::::::
cpe:2.3:o:freebsd:freebsd:14.4:p2::::::
cpe:2.3:o:freebsd:freebsd:14.4:p3::::::
cpe:2.3:o:freebsd:freebsd:14.4:p4::::::
cpe:2.3:o:freebsd:freebsd:14.4:p5::::::
cpe:2.3:o:freebsd:freebsd:14.4:rc1::::::
cpe:2.3:o:freebsd:freebsd:15.0:-::::::
cpe:2.3:o:freebsd:freebsd:15.0:p1::::::
cpe:2.3:o:freebsd:freebsd:15.0:p2::::::
cpe:2.3:o:freebsd:freebsd:15.0:p3::::::
cpe:2.3:o:freebsd:freebsd:15.0:p4::::::
cpe:2.3:o:freebsd:freebsd:15.0:p5::::::
cpe:2.3:o:freebsd:freebsd:15.0:p6::::::
cpe:2.3:o:freebsd:freebsd:15.0:p7::::::
cpe:2.3:o:freebsd:freebsd:15.0:p8::::::
cpe:2.3:o:freebsd:freebsd:15.0:p9::::::
cpe:2.3:o:freebsd:freebsd:15.1:rc2::::::

Related information, measures and tools

No	URL	refsource
1	https://security.freebsd.org/advisories/FreeBSD-SA-26:26.ktls.asc	secteam@freebsd.org
2	http://www.openwall.com/lists/oss-security/2026/06/10/20	af854a3a-2127-422b-91ae-364da2661108
3	http://www.openwall.com/lists/oss-security/2026/06/10/21	af854a3a-2127-422b-91ae-364da2661108
4	https://www.heise.de/en/news/FreeBSD-Privilege-Escalation-Vulnerability-with-Tongue-in-Cheek-Codename-11329109.html	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-123	任意の場所に任意の値を書き込み可能な状態	https://cwe.mitre.org/data/definitions/123.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:o:freebsd:freebsd:14.3:-::::::
cpe:2.3:o:freebsd:freebsd:14.3:p1::::::
cpe:2.3:o:freebsd:freebsd:14.3:p10::::::
cpe:2.3:o:freebsd:freebsd:14.3:p11::::::
cpe:2.3:o:freebsd:freebsd:14.3:p12::::::
cpe:2.3:o:freebsd:freebsd:14.3:p13::::::
cpe:2.3:o:freebsd:freebsd:14.3:p14::::::
cpe:2.3:o:freebsd:freebsd:14.3:p2::::::
cpe:2.3:o:freebsd:freebsd:14.3:p3::::::
cpe:2.3:o:freebsd:freebsd:14.3:p4::::::
cpe:2.3:o:freebsd:freebsd:14.3:p5::::::
cpe:2.3:o:freebsd:freebsd:14.3:p6::::::
cpe:2.3:o:freebsd:freebsd:14.3:p7::::::
cpe:2.3:o:freebsd:freebsd:14.3:p8::::::
cpe:2.3:o:freebsd:freebsd:14.3:p9::::::
cpe:2.3:o:freebsd:freebsd:14.4:-::::::
cpe:2.3:o:freebsd:freebsd:14.4:p1::::::
cpe:2.3:o:freebsd:freebsd:14.4:p2::::::
cpe:2.3:o:freebsd:freebsd:14.4:p3::::::
cpe:2.3:o:freebsd:freebsd:14.4:p4::::::
cpe:2.3:o:freebsd:freebsd:14.4:p5::::::
cpe:2.3:o:freebsd:freebsd:14.4:rc1::::::
cpe:2.3:o:freebsd:freebsd:15.0:-::::::
cpe:2.3:o:freebsd:freebsd:15.0:p1::::::
cpe:2.3:o:freebsd:freebsd:15.0:p2::::::
cpe:2.3:o:freebsd:freebsd:15.0:p3::::::
cpe:2.3:o:freebsd:freebsd:15.0:p4::::::
cpe:2.3:o:freebsd:freebsd:15.0:p5::::::
cpe:2.3:o:freebsd:freebsd:15.0:p6::::::
cpe:2.3:o:freebsd:freebsd:15.0:p7::::::
cpe:2.3:o:freebsd:freebsd:15.0:p8::::::
cpe:2.3:o:freebsd:freebsd:15.0:p9::::::
cpe:2.3:o:freebsd:freebsd:15.1:rc2::::::