El projecte FreeBSD va publicar el 27 de gener de 2026 l’avís de seguretat FreeBSD-SA-26:02.jail, que corregeix la vulnerabilitat CVE-2025-15547. És un error que deixa que un usuari privilegiat dins d’una jail escapi de la seva arrel del sistema de fitxers (el chroot de la jail) i accedeixi al sistema de fitxers complet del host o de la jail pare.
Què és la vulnerabilitat
Les jails són el mecanisme de virtualització lleugera i aïllament de FreeBSD, molt usat per confinar serveis i entorns. Per defecte una jail no pot muntar sistemes de fitxers, però l’administrador ho pot concedir de manera explícita mitjançant opcions com allow.mount i, en concret, allow.mount.nullfs, que habilita el muntatge de directoris a través del pseudo-sistema de fitxers nullfs(4).
L’avís ho explica així: quan una jail està configurada per permetre muntatges nullfs des del seu interior, una limitació en la lògica de resolució de rutes (path lookup) del nucli deixa que l’usuari root de la jail munti directoris de manera que pot sortir del chroot que delimita la jail. Aleshores l’atacant deixa d’estar confinat i obté accés a l’arbre de directoris de l’amfitrió.
A qui afecta
El problema afecta FreeBSD 13.5 i 14.3 (les versions suportades indicades a l’avís). El requisit clau és que la jail tingui allow.mount.nullfs habilitat. Les configuracions de jail estàndard, que no permeten muntatges nullfs des de dins, no són vulnerables.
A la pràctica això delimita força l’abast. Només queda exposat qui hagi concedit deliberadament la capacitat de muntar nullfs a una jail, cosa que se sol fer en escenaris concrets, com compartir directoris del host de manera flexible. Tot i així, en aquests entorns la conseqüència és greu, perquè trenca la principal garantia de la jail: l’aïllament.
Gravetat
L’avís no assigna cap puntuació CVSS, però l’impacte és alt en termes de model de seguretat. Una escapada de jail anul·la el confinament i pot convertir un compromís limitat dins de la jail en accés total al host. Qui ja tingui privilegis de root dins de la jail, ja sigui per disseny multiusuari o després de comprometre un servei que s’executa com a root, pot pivotar cap al sistema amfitrió.
Mitigació i pedaç
El mateix avís indica que no hi ha cap solució temporal (workaround). La recomanació és actualitzar. Hi ha dues vies:
- Pedaços binaris: aplicar l’actualització mitjançant
freebsd-update(8)i reiniciar els serveis o el sistema segons calgui. - Des de codi font: compilar el nucli pedaçat a partir de les branques corresponents (
stable/14,releng/14.3,stable/13,releng/13.5), els commits de les quals es referencien a l’avís oficial.
Com a mesura de contenció fins que es pugui pedaçar, val la pena revisar les configuracions de jails i retirar allow.mount.nullfs allà on no sigui estrictament necessari, cosa que redueix la superfície d’atac. El principi de mínim privilegi aplica especialment a les capacitats de muntatge dins de jails.
Per aprofundir en el model d’aïllament de FreeBSD respecte d’altres mecanismes de Linux, es pot consultar la fitxa de FreeBSD.
Font
- Avís oficial: FreeBSD-SA-26:02.jail
- Detall del CVE: CVE-2025-15547 a NVD