OPNsense 26.7 -palomuurijakelu on julkaistu pfSense-projektista vuonna 2015 tavoitteena kehittää täysin avoimen lähdekoodin jakelu, jossa voisi olla kaupallisten palomuuri- ja yhdyskäytäväratkaisujen toimivuus. Toisin kuin pfSense, projekti on sijoitettu siten, että se ei ole yhden yrityksen hallinnassa, ja se on kehitetty yhteisön suoralla osallistumisella ja jolla on täysin avoin kehitysprosessi sekä mahdollisuus käyttää mitä tahansa sen kehitystä kolmansien osapuolien tuotteissa, mukaan lukien kaupalliset. Jakelukomponenttien lähdekoodia sekä kokoonpanoon käytetyt työkalut jaetaan BSD-lisenssillä. Kokoonpanot valmistetaan LiveCD:n ja järjestelmäkuvan muodossa tallennettavaksi Flash-asemille (490 MB).
Jakelun ydin perustuu FreeBSD-koodiin. OPNsensen ominaisuuksiin kuuluvat: täysin avoimen lähdekoodin työkaluketju, tuki paketteina asentamiselle tavallisen FreeBSD:n päälle, kuormituksen tasapainotustyökalut, web-käyttöliittymä käyttäjien verkkoyhteyksien järjestämiseen (Captive Portal), yhteyksien tilan seurantamekanismit (tilallinen palomuuri pf-pohjalta), kaistanleveyden rajoitusjärjestelmä, liikenteen suodatus ja IPsec-pohjainen VPN-luonti. OpenVPN ja PPTP, integrointi LDAP:n ja RADIUSin kanssa, DDNS (Dynamic DNS) -tuki, visuaalisten raporttien ja graafien järjestelmä.
Jakelun pohjalta on mahdollista luoda CARP-protokollan käyttöön perustuvia vikasietoisia konfiguraatioita, jotka mahdollistavat pääpalomuurin lisäksi varmuuskopioinnin käynnistämisen, joka synkronoidaan automaattisesti konfigurointitasolla ja ottaa kuorman vastaan ensisijaisen solmun vikaantuessa. Järjestelmänvalvojalle tarjotaan verkkokäyttöliittymä palomuurin konfigurointia varten, joka on rakennettu Bootstrap-verkkokehyksen ja Phalcon MVC:n avulla.
Muutosten joukossa:
- Siirtyminen FreeBSD 15.1 -koodikantaan on valmis (aiemmin käytettiin FreeBSD 14.3:a).
- Palomuurisääntöjen määrittämiseen, verkkoliitäntöjen määrittämiseen (lähiverkon ja laajaverkon erottaminen) ja yhdyskäytäväryhmien hallintaan tarkoitetut rajapinnat on siirretty käyttämään MVC-kehystä, ja ne ovat nyt lisäksi käytettävissä verkko-ohjelmointirajapinnan kautta verkon konfiguroinnin hallinnan automatisoimiseksi.
- Lisätty ohjattu toiminto osoitteenkäännössääntöjen siirtämiseksi vanhasta lähtevän NAT:n määritysmuodosta uuteen muotoon käyttämällä Source NAT (SNAT) -arkkitehtuuria.
- KEA DHCP -konfiguraattoriin on lisätty tuki DDNS:lle (dynaaminen) ja IPv6-etuliitteiden (osoitelohkojen) automaattiselle allokoinnille.
- IPv6-tuki on lisätty Captive-portaaliin.
- Päivitetyt versiot OpenVPN 2.7, PHP 8.5, Python 3.13.
- Kriittinen haavoittuvuus (CVE-2026-57155, vakavuustaso 9.9/10) on korjattu. Tämä haavoittuvuus mahdollisti koodin suorittamisen pääkäyttäjän oikeuksilla ilman komentotulkkikäyttöoikeutta ja rajoitettua pääsyä aliaksiin (verkko- ja isäntänimien luetteloihin). Haavoittuvuuden aiheuttaa puutteelliset tarkistukset käsiteltäessä tietoja GeoIP-tietokannasta, joka yhdistää maat IP-osoitteisiin.
GeoIP-tietokannan maakoodi korvattiin ilman vahvistusta tiedostonimeä luotaessa, mikä mahdollisti minkä tahansa järjestelmässä olevan tiedoston ylikirjoittamisen, koska käsittelijä toimii pääkäyttäjän oikeuksilla. Pääkäyttäjä voi käyttää Web-ohjelmointirajapintaa määrittääkseen URL-osoitteen ladatakseen muokatun GeoIP-tietokannan aliaksia varten. Pääkäyttäjän oikeudet voidaan saada määrittämällä "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" maakoodin sijaan yhdessä tietokannan merkinnöistä. Tämä loisi lokien rotaatiojärjestelmälle määritystiedoston, joka voisi määrittää pääkäyttäjän oikeuksilla suoritettavat komennot.
Lähde: opennet.ru
