L’equip de FreeBSD va publicar el 29 d’abril de 2026 l’avis FreeBSD-SA-26:14.pf, que corregeix una fallada a pf, el filtre de paquets que molts servidors i tallafocs FreeBSD fan servir cada dia. El problema te assignat l’identificador CVE-2026-7164 i permet que un atacant remot tombi el sistema amb un sol paquet ben triat.
Que falla exactament
pf no es limita a acceptar o descartar paquets segons les teves regles. Quan veu trafic SCTP (Stream Control Transmission Protocol) inspecciona el contingut per localitzar les adreces addicionals que un endpoint pot anunciar. Aquesta analisi recorre els parametres dels chunks SCTP de manera recursiva.
Aqui hi ha el forat. La validacio d’aquests parametres es insuficient i la recursio no te sostre. Un paquet preparat expressament fa que pf es cridi a si mateix una vegada i una altra fins a esgotar la pila del kernel. El resultat es un desbordament de pila i un panic: la maquina cau.
A qui afecta
A qualsevol sistema FreeBSD amb pf processant trafic, sense importar les regles que tinguis escrites. L’avis es clar en aquest punt: el ruleset no protegeix, perque l’analisi SCTP passa abans que les teves regles decideixin res. Les versions afectades son FreeBSD 13.5, 14.3, 14.4 i 15.0, juntament amb les seves branques estables.
Aixo inclou des de tallafocs perimetrals i routers basats en FreeBSD fins a servidors que filtren el seu propi trafic. Si pf esta actiu i veu paquets que arriben de la xarxa, estas exposat.
Gravetat
La fallada es classifica com a alta, amb CVSS 7.8. No permet executar codi ni robar dades: l’impacte es denegacio de servei. Pero no convé restar-li importancia. Un atacant remot, sense autenticar-se, pot tirar a terra un tallafocs enviant un grapat de paquets SCTP manipulats. Si aquell tallafocs protegeix una xarxa sencera o un servei critic, la caiguda es nota.
El que es incomode es que no hi ha mitigacio real. L’avis ho diu sense embuts: l’unica manera de no estar exposat es no fer servir pf, cosa que poques vegades es una opcio. No pots filtrar el problema amb una regla perque la fallada viu al codi que s’executa abans d’aplicar regles.
Com protegir-se
Actualitza. Les correccions van sortir el mateix dia de l’avis per a les branques 15.0, 14.4, 14.3 i 13.5. Tens dos camins:
- freebsd-update en sistemes binaris: aplica el pedac i reinicia per carregar el kernel corregit.
- Pedac de codi font si compiles el teu propi kernel: descarrega el patch de l’avis, recompila i installa.
Com que la fallada es al kernel, has de reiniciar despres d’actualitzar. No n’hi ha prou amb recarregar el ruleset de pf.
No es el primer panic remot que veiem a FreeBSD per desbordament de pila al kernel. Fa uns mesos passava una cosa semblant amb els routing sockets a CVE-2026-3038. El patro es repeteix, i la resposta tambe: pedac i reinici.
Si per la rao que sigui no pots pedaçar de seguida i controles el perimetre aigues amunt, bloquejar el trafic SCTP entrant cap a la maquina afectada redueix la superficie. No es una solucio neta i depen de la teva topologia, pero ajuda a guanyar temps fins al reinici amb el kernel corregit.