Kingcope hat entdeckt und auf Full-disclosure gepostet, dass der Run-Time-Link-Editor rtld in aktuellen FreeBSD-Versionen einen gefährlichen Fehler aufweist. Ein Angreifer kann rtld dazu bringen, eine manipulierte LD_PRELOAD-Umgebungsvariable zu akzeptieren, selbst wenn setugid-Binärdateien wie ping oder su ausgeführt werden.
Der FreeBSD-Sicherheitsbeauftragte Colin Percival reagierte schnell mit einem vorläufigen Patch, der möglicherweise noch nicht die endgültige Version ist. Der Patch ist auf eigenes Risiko zu verwenden, da er das Problem möglicherweise nicht behebt oder neue Probleme verursachen könnte.
Die offizielle FreeBSD-Sicherheitsmitteilung findest du hier: FreeBSD-SA-09:16.rtld