El projecte FreeBSD ha publicat l’avís de seguretat FreeBSD-SA-26:03.blocklistd, que corregeix la vulnerabilitat CVE-2026-2261. És un error de gestió de recursos a blocklistd(8), el dimoni que automatitza el bloqueig d’adreces IP després d’esdeveniments adversos repetits, com ara intents d’autenticació fallits. La gravetat és mitjana, però el seu efecte resulta especialment delicat perquè degrada justament un dels mecanismes defensius del sistema.
Què és blocklistd i què falla
blocklistd rep notificacions de serveis com SSH quan passa res sospitós (per exemple, diversos intents d’inici de sessió fallits des de la mateixa IP) i, com a resposta, afegeix regles de tallafocs per bloquejar temporalment aquestes adreces. En el món FreeBSD fa un paper semblant al de fail2ban a Linux.
El problema és un error de programació que provoca una fuita de descriptors de socket: per cada esdeveniment advers que blocklistd processa, el dimoni deixa un descriptor de socket sense tancar. Amb el temps aquests descriptors s’acumulen fins a esgotar els recursos disponibles del procés.
A qui afecta
La vulnerabilitat afecta FreeBSD 15.0 i 15.0-RELEASE. Qualsevol sistema que tingui blocklistd habilitat per protegir els seus serveis exposats pot acabar degradat, tant per l’ús normal al llarg del temps com per un abús deliberat.
Impacte: una defensa que s’apaga sola
L’esgotament de descriptors degrada el servei en dues fases:
- Primer, en acumular prou descriptors filtrats,
blocklistdja no pot executar els scripts auxiliars que apliquen o retiren els bloquejos (els processos fills fallen per una desreferència de punter nul). El sistema deixa d’afegir bloquejos nous i d’alliberar els que han caducat. - Després, amb la fuita ja avançada,
blocklistdni tan sols pot rebre nous informes d’esdeveniments.
El risc real és que un atacant generi a propòsit un gran nombre d’esdeveniments adversos des d’adreces IP sacrificables per saturar i desactivar blocklistd abans de llançar l’atac que de debò li interessa. Segons el mateix avís, algú amb prou IP podria inutilitzar el servei “en qüestió de minuts, o com a molt hores”. I encara que no hi hagi ningú atacant, l’ús normal acaba esgotant els descriptors a poc a poc.
Mitigació i pedaç
Reiniciar blocklistd amb regularitat dona un alleujament temporal, però no toca el fons del problema: un atacant decidit el torna a saturar de seguida.
La solució de debò és aplicar el pedaç oficial. FreeBSD va publicar les correccions el 10 de febrer de 2026 per a stable/15 (commit 1864a03eb2ac) i releng/15.0 (commit e4781e4e6d88). L’actualització s’instal·la amb freebsd-update, pkg, o recompilant des del codi font ja pedaçat, segons com gestionis el sistema. Després d’actualitzar, reinicia el servei perquè la correcció tingui efecte.
Si portes servidors FreeBSD que depenen de blocklistd com a capa de protecció davant la força bruta, aplica aquest pedaç com més aviat millor. Una defensa que el mateix atacant pot apagar deixa de ser una defensa.
Pots consultar la fitxa completa de FreeBSD per conèixer més sobre aquest sistema operatiu i el seu cicle de suport.
Font
- Avís oficial: FreeBSD-SA-26:03.blocklistd
- Detall del CVE: CVE-2026-2261 a NVD