Ve FreeBSD 12.3, 12.4, 13.0 a 13.1 byla objevena zranitelnost, která dostala hodnocení kritická. Nachází se ve funkci pr_pack příkazu ping a správná manipulace se vstupem vede k přetečení zásobníku a možnosti spustit vzdáleně kód.
Zmíněná funkce zkopíruje přijaté hlavičky IP a ICMP do paměti pro další zpracování. Přitom nebere v úvahu možnou přítomnost volitelných záhlaví IP, která následují za hlavičkou v odpovědi nebo v citovaném paketu. Pokud jsou přítomny, funkce způsobí přetečení zásobníku až o 40 bajtů.
Chyba dostala označení CVE-2022–23093, detaily byly zveřejněny, ale exploit zatím není znám. Přesto vývojáři doporučují co nejdříve aktualizovat.
