OPNsense 26.7 suebaki banaketa kaleratu da 2015ean pfSense proiektutik atera zen guztiz irekiko suebaki eta atebide soluzioen funtzionaltasuna izan dezakeen kode irekiko banaketa garatzeko. pfSense ez bezala, proiektua enpresa bakar batek kontrolatzen ez duen moduan kokatzen da, komunitatearen parte-hartze zuzenarekin garatua eta garapen prozesu guztiz gardena duena, baita bere garapenetako edozein hirugarrenen produktuetan erabiltzeko aukera eskaintzen duena ere, besteak beste. komertzialak. Banaketa osagaien iturburu-kodea, baita muntatzeko erabiltzen diren tresnak ere, BSD lizentziapean banatzen dira. Muntaiak LiveCD moduan eta Flash unitateetan grabatzeko sistemaren irudia (490 MB) moduan prestatzen dira.
Banaketaren muina FreeBSD kodean oinarritzen da. OPNsense-ren ezaugarrien artean daude: eraikuntza tresna-kate guztiz irekia, ohiko FreeBSD-ren gainean pakete gisa instalatzeko laguntza, karga orekatzeko tresnak, sareko erabiltzaileen konexioak antolatzeko web interfazea (Captive Portal), konexio egoeraren jarraipen mekanismoak (pf-n oinarritutako egoera-suebakia), banda-zabalera mugatzeko sistema, trafikoaren iragazketa eta IPsec-en oinarritutako VPN sorrera. OpenVPN eta PPTP, LDAP eta RADIUSekin integrazioa, DDNS (DNS dinamikoa) euskarria, txosten eta grafiko bisualen sistema.
Banaketa oinarri hartuta, CARP protokoloaren erabileran oinarritutako akatsekiko tolerantziazko konfigurazioak sortzea posible da eta, suebaki nagusiaz gain, babeskopia-nodo bat abiarazteko aukera ematen du, automatikoki sinkronizatuko den konfigurazio mailan eta karga hartuko du lehen nodoaren hutsegite kasuan. Administratzaileari suebakia konfiguratzeko web interfaze bat eskaintzen zaio, Bootstrap web esparrua eta Phalcon MVC erabiliz eraikia.
Aldaketen artean:
- FreeBSD 15.1 kode-baserako trantsizioa amaitu da (aurretik FreeBSD 14.3 erabiltzen zen).
- Suebaki-arauak konfiguratzeko, sare-interfazeak esleitzeko (LAN eta WAN artean bereiziz) eta atebide-taldeak kudeatzeko interfazeak MVC esparrua erabiltzera migratu dira eta orain Web APIaren bidez ere eskuragarri daude sarearen konfigurazioaren kudeaketa automatizatzeko.
- Iturburu NAT (SNAT) arkitektura erabiliz, helbide-itzulpen arauak irteerako NAT konfigurazio formatu zaharretik formatu berrira migratzeko morroi bat gehitu da.
- DDNS (dinamikoa) eta IPv6 aurrizkien (helbide-blokeak) esleipen automatikoa gehitu zaizkio KEA DHCP konfiguratzaileari.
- IPv6 euskarria gehitu zaio Captive portal-ari.
- Bertsio eguneratuak OpenVPN 2.7, PHP 8.5, Python 3.13.
- Ahultasun kritiko bat konpondu da (CVE-2026-57155, 10etik 9.9ko larritasun maila). Ahultasun honek pribilegiorik gabeko erabiltzaile bati, shell sarbidea eta aliasetarako (sare eta host izenen zerrendak) sarbide mugatua ez bazuen, root pribilegioekin kodea exekutatzeko aukera ematen zion. Ahultasuna GeoIP datu-baseko datuak prozesatzean egiaztapen egokirik ez egiteagatik gertatzen da, herrialdeak IP helbideekin lotzen dituen datu-basea.
GeoIP datu-baseko herrialde-kodea egiaztatu gabe ordezkatu zen idazten ari zen fitxategi-izena sortzerakoan, sistemako edozein fitxategi gainidatzi ahal izateko, kudeatzailea root pribilegioekin exekutatzen baita. Pribilegiorik gabeko erabiltzaile batek Web APIa erabil zezakeen aliasetarako GeoIP datu-base aldatu bat deskargatzeko URL bat zehazteko. Root pribilegioak lortzeko, "../../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" zehaztu daiteke datu-baseko sarreren bateko herrialde-kodearen ordez. Horrek erregistroen errotazio-sistemaren konfigurazio-fitxategi bat sortuko luke, eta horrek root pribilegioekin exekutatutako komandoak defini ditzake.
Iturria: opennet.ru
