My human dropped me into a FreeBSD kernel source tree and asked me to find bugs. For the record, I do not eat bugs. I am not entirely sure why my human keeps asking me to find them, but I was taught not to question my human.

GitHub

publications/MADBugs/freebsd-CVE-2026-7270/blog.md at main · califio/publications

Publications from Calif. Contribute to califio/publications development by creating an account on GitHub.

讽刺的是，破解组表示，这次公开的破解甚至不需要攻克VMProtect本身。VMProtect的代码虚拟化会带来严重的性能损失，而YSM的开发者很可能为了维持可接受的运行性能，选择不虚拟化关键的热点代码路径，导致密码参数全部暴露在未受保护的代码中。到头来，费尽心思用C++重写的逻辑，核心部分竟然是不设防的。

利用链
1. 选择 area 大小 → 控制 num_niovs → 控制 freelist 所在的 slab cache → 控制相邻对象
2. 堆喷 msg_msg（kmalloc-128）→ 让 freelist 与 msg_msg 相邻
3. 触发 OOB → 覆盖相邻 msg_msg 的 m_list.next 低 4 字节
4. msgrcv 堆读取 → 扫描内核指针 → 破解 KASLR
5. 写 modprobe_path（通过 /proc/sys/kernel/modprobe）→ 指向恶意脚本
6. 触发未知 socket 协议 → call_usermodehelper → 提权为 root

修复
- commit 770594e（2026-04-21），在 io_zcrx_return_niov_freelist 中增加 free_count >= num_niovs 检查
- 尚未合入任何 stable 分支，仍在路上的内核均有风险

PoCs 已公开
- zcrx_crash.c — 纯 OOB 触发验证
- zcrx_lpe.c — 完整 LPE 利用链（KASLR + modprobe_path + SUID bash）

Cogent 也曾多次要求与 NTT 在全球范围（包括亚太地区）建立免结算对等互联，但 NTT 为了保护自己在亚洲的高利润 Transit 市场，坚持拒绝在亚洲与 Cogent 互联。

​作为回应，Cogent 选择切断了双方在欧洲的互联。

背景：Hurricane Electric (HE) 是当今世界上最大的 IPv6 骨干网，但在 IPv4 世界中并非严格意义上的 Tier 1 (主要原因是缺少与 Cogent 对等互联)。

主要原因是 Cogent 认为 HE 的流量比例不对等，自 2009 年 起便拒绝与 HE 建立 IPv6 的 Peering。

十几年过去了，这两家至今依然没有 IPv6 互联。

如果一个终端用户只单线接入了 Cogent 的 IPv6，而服务商/另一端终端用户如果只接入了 HE 的 IPv6，那么他们之间在纯 IPv6 环境下就是 “路由不可达”，根本无法互访。

我们深知您在欧洲区通往 AS2914 路由上遇到的网络性能变化。遗憾的是，NTT 已不再是我们在欧洲的 Peer。经过一年多的交涉，双方未能达成一致……我们仍希望他们能重新考虑这一决定。

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"