CVE-2026-56099
Moderat

CVE-2026-56099: OpenBSD hukommelseslækage forklaret

Fejl i OpenBSD afslører intern systemhukommelse for angribere via netværket uden login.

CVSS Score
5.3
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

En sårbarhed i styresystemet OpenBSD gør det muligt for en angriber at læse små bidder af operativsystemets interne hukommelse (kaldet kernel-hukommelse). Det sker, fordi en funktion ved navn mpls_do_error ikke tjekker grænser korrekt, når den modtager særligt udformede netværkspakker af typen MPLS (et protokolformat brugt til at route datatrafik). Angriberen behøver ingen adgangskoder eller særlige rettigheder — det kræver blot netværksadgang til det sårbare system. Fejlen er klassificeret som CWE-125 (out-of-bounds read), hvilket betyder at programmet læser data uden for det tilladte hukommelsesområde og utilsigtet afslører indholdet for angriberen.

Hvem rammer det?

Sårbarheden rammer servere og systemer, der kører OpenBSD og er eksponeret mod internettet eller et eksternt netværk. OpenBSD bruges primært af teknisk erfarne administratorer, universiteter og organisationer med fokus på sikkerhed — det er relativt sjældent i typiske SMV-miljøer. Hvis din virksomhed bruger OpenBSD som firewall, router eller server, og systemet ikke er opdateret til efter commit 6a23123 fra den 18. juni 2026, er du potentielt berørt.

Hvad kan ske?

En angriber kan sende særligt udformede netværkspakker til dit system og modtage fragmenter af operativsystemets interne hukommelse som svar. Disse fragmenter kan indeholde følsomme oplysninger som krypteringsnøgler, adgangskoder eller andre data, der midlertidigt befinder sig i systemets kerne. Det giver angriberen bedre forudsætninger for at planlægge et mere avanceret angreb. Selve angrebet ændrer eller sletter ikke data og lukker ikke systemet ned — det er udelukkende en informationslækage.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS-score 5,3 ud af 10, hvilket kategoriseres som moderat. Angrebet kræver ingen login, ingen brugerinteraktion og kan udføres over netværket, hvilket gør det nemt at forsøge. Til gengæld er skaden begrænset til læsning af mindre mængder hukommelse — angriberen kan ikke direkte overtage systemet eller slette data. Risikoen er størst, hvis OpenBSD-systemet håndterer følsomme oplysninger og er direkte tilgængeligt fra internettet.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Tjek om du bruger OpenBSD: Spørg din IT-ansvarlige eller leverandør, om nogle af jeres servere, firewalls eller routere kører OpenBSD.
  2. Opdatér OpenBSD: Sørg for at systemet er opdateret til en version der inkluderer commit 6a23123 fra den 18. juni 2026 eller nyere. Din IT-ansvarlige kan verificere dette.
  3. Begræns netværksadgang: Hvis opdatering ikke kan ske med det samme, så begræns hvilke IP-adresser der kan sende MPLS-trafik til systemet via en firewall-regel.
  4. Overvåg systemlogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig MPLS-trafik eller netværksscanning mod de berørte systemer.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Opdatér dine OpenBSD-systemer hurtigst muligt til en version der inkluderer rettelsen fra den 18. juni 2026. Sårbarheden er nem at udnytte fra netværket og kræver ingen særlige rettigheder, hvilket gør det attraktivt for angribere der scanner internettet automatisk. Bruger du ikke OpenBSD, er du ikke berørt, men det er altid god praksis at have styr på, hvilket styresystem dine servere kører.

Tidslinje

18/06/2026
Rettelse udgivet af OpenBSD
OpenBSD-projektet udgiver commit 6a23123, der lukker sårbarheden i mpls_do_error-funktionen. Rettelsen er tilgængelig for alle brugere.
18/06/2026
CVE-2026-56099 offentliggjort
Sårbarheden registreres officielt i NVD-databasen med en CVSS-score på 5,3 (moderat). Tekniske detaljer om angrebsmetoden offentliggøres.
19/06/2026
Tekniske detaljer tilgængelige
Med den offentlige CVE-beskrivelse er det muligt for angribere at reproducere angrebet. Systemer der ikke er opdateret, er nu i øget risiko.
18/07/2026
Anbefalet opdateringsfrist
Auroa anbefaler, at alle OpenBSD-systemer er opdateret senest 30 dage efter offentliggørelsen for at minimere risikoen for informationslækage.

Konkrete eksempler

Automatiseret netværksscanning

En angriber bruger et automatiseret scanningsværktøj til at sende specielt udformede MPLS-pakker med 16 labels og uden Bottom-of-Stack-bit til kendte IP-adresser på internettet. Sårbare OpenBSD-systemer svarer med fragmenter af kernel-hukommelse, som angriberen gemmer til senere analyse. Hele processen kræver ingen login og kan køres mod tusindvis af IP-adresser på få minutter.

Forberedelse til avanceret angreb

En angriber har identificeret en virksomheds OpenBSD-baserede firewall og udnytter sårbarheden til at hente bidder af kernel-hukommelse. Heriblandt finder angriberen dele af en krypteringsnøgle eller en session-token, som bruges til at komme videre ind i virksomhedens netværk med et efterfølgende, mere målrettet angreb.

Intern trussel via kompromitteret netværk

En angriber, der allerede har fået adgang til virksomhedens interne netværk via phishing, sender MPLS-pakker mod en intern OpenBSD-server. Ved at læse kernel-hukommelse på serveren forsøger angriberen at finde adgangskoder eller nøgler der giver adgang til andre systemer i netværket — en teknik kaldet lateral movement (sideværts bevægelse i netværket).

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
LOW
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CWE-svaghedstyper

CWE-125

Original NVD-beskrivelse (engelsk)

OpenBSD before commit 6a23123 (2026-06-18) contains an out-of-bounds read vulnerability in the mpls_do_error function within sys/netmpls/mpls_input.c that allows remote attackers to disclose kernel stack memory by sending crafted MPLS frames with 16 labels and no Bottom-of-Stack bit set.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
5.3
Visning
Hurtige fakta
CVE-ID
CVE-2026-56099
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.