Die OPNsense 26.7-brandmuurverspreiding is vrygestel Dit is in 2015 uit die pfSense-projek gevurk met die doel om 'n volledig oopbronverspreiding te ontwikkel wat die funksionaliteit van kommersiële firewall- en poortoplossings kan hê. Anders as pfSense, word die projek geposisioneer as nie deur 'n enkele maatskappy beheer nie, ontwikkel met die direkte deelname van die gemeenskap en met 'n heeltemal deursigtige ontwikkelingsproses, sowel as die geleentheid om enige van sy ontwikkelings in derdeparty-produkte te gebruik, insluitend kommersiële. Die bronkode van die verspreidingskomponente, sowel as die gereedskap wat vir samestelling gebruik word, word onder die BSD-lisensie versprei. Die samestellings word voorberei in die vorm van LiveCD en 'n stelselbeeld vir opname op Flash drives (490 MB).
Die kern van die verspreiding is gebaseer op FreeBSD-kode. OPNsense-kenmerke sluit in: 'n volledig oopbron-bou-gereedskapsketting, ondersteuning vir installasie as pakkette bo-op gewone FreeBSD, lasbalanseringsgereedskap, 'n webkoppelvlak vir die organisering van gebruikersverbindings na die netwerk (Captive Portal), verbindingstatusopsporingsmeganismes (’n toestandvolle firewall gebaseer op pf), 'n bandwydtebeperkingstelsel, verkeersfiltrering en IPsec-gebaseerde VPN-skepping. OpenVPN en PPTP, integrasie met LDAP en RADIUS, DDNS (Dinamiese DNS) ondersteuning, 'n stelsel van visuele verslae en grafieke.
Op grond van die verspreiding is dit moontlik om foutverdraagsame konfigurasies te skep wat gebaseer is op die gebruik van die CARP-protokol en wat dit moontlik maak om, benewens die hoofbrandmuur, 'n rugsteunnodus te begin, wat outomaties gesinchroniseer sal word op die konfigurasievlak en sal die las oorneem in die geval van 'n mislukking van die primêre nodus. Die administrateur word 'n webkoppelvlak aangebied vir die opstel van die firewall, gebou met die Bootstrap-webraamwerk en Phalcon MVC.
Onder die veranderinge:
- Die oorgang na die FreeBSD 15.1-kodebasis is voltooi (voorheen is FreeBSD 14.3 gebruik).
- Koppelvlakke vir die konfigurasie van firewallreëls, die toewysing van netwerkkoppelvlakke (skeiding tussen LAN en WAN), en die bestuur van gatewaygroepe is gemigreer om die MVC-raamwerk te gebruik en is nou ook toeganklik via die Web API vir die outomatisering van netwerkkonfigurasiebestuur.
- Het 'n towenaar bygevoeg vir die migrasie van adresvertalingsreëls vanaf die ou Uitgaande NAT-konfigurasieformaat na die nuwe formaat met behulp van die Bron-NAT (SNAT)-argitektuur.
- Ondersteuning vir DDNS (Dinamies) en outomatiese toekenning van IPv6-voorvoegsels (adresblokke) is by die KEA DHCP-konfigurator gevoeg.
- IPv6-ondersteuning is by die Captive-portaal gevoeg.
- Opgedateerde weergawes OpenVPN 2.7, PHP 8.5, Python 3.13.
- 'n Kritieke kwesbaarheid (CVE-2026-57155, ernstigheidsvlak 9.9 uit 10) is reggestel. Hierdie kwesbaarheid het 'n onbevoorregte gebruiker sonder doptoegang en beperkte toegang tot aliasse (lyste van netwerk- en gasheername) toegelaat om kode met root-regte uit te voer. Die kwesbaarheid word veroorsaak deur 'n gebrek aan behoorlike kontroles wanneer data vanaf die GeoIP-databasis verwerk word wat lande met IP-adresse assosieer.
Die landkode van die GeoIP-databasis is sonder verifikasie vervang tydens die generering van die lêernaam wat geskryf word, wat toelaat dat enige lêer in die stelsel oorskryf word, aangesien die hanteerder met wortelregte loop. 'n Onbevoorregte gebruiker kan die Web API gebruik om 'n URL te spesifiseer om 'n gewysigde GeoIP-databasis vir aliasse af te laai. Om wortelregte te verkry, kan 'n mens "../../../../../../../etc/newsyslog.conf.d/zzz_pwn" spesifiseer in plaas van die landkode in een van die databasisinskrywings. Dit sal 'n konfigurasielêer vir die logrotasiestelsel skep, wat bevele kan definieer wat met wortelregte uitgevoer word.
Bron: opennet.ru
