La distribution de pare-feu OPNsense 26.7 est sortie. Elle a été dérivée du projet pfSense en 2015 dans le but de développer une distribution entièrement ouverte qui pourrait avoir des fonctionnalités au niveau des solutions commerciales pour le déploiement de pare-feu et de passerelles réseau. Contrairement à pfSense, le projet se positionne comme n'étant pas contrôlé par une seule entreprise, développé avec la participation directe de la communauté et ayant un processus de développement totalement transparent, tout en offrant la possibilité d'utiliser n'importe lequel de ses développements dans des produits tiers, y compris les commerciaux. Le code source des composants de la distribution, ainsi que les outils utilisés pour l'assemblage, sont distribués sous la licence BSD. Les assemblages sont préparés sous forme de LiveCD et d'une image système pour l'enregistrement sur des clés USB (490 Mo).
Le noyau de la distribution est basé sur le code FreeBSD. Les fonctionnalités d'OPNsense incluent : une chaîne d'outils de construction entièrement open source, la prise en charge de l'installation sous forme de paquets sur FreeBSD standard, des outils d'équilibrage de charge, une interface web pour la gestion des connexions utilisateur au réseau (portail captif), des mécanismes de suivi de l'état des connexions (un pare-feu dynamique basé sur pf), un système de limitation de bande passante, le filtrage du trafic et la création de VPN basés sur IPsec. OpenVPN et PPTP, intégration avec LDAP et RADIUS, prise en charge DDNS (DNS dynamique), un système de rapports et de graphiques visuels.
Sur la base de la distribution, il est possible de créer des configurations tolérantes aux pannes basées sur l'utilisation du protocole CARP et permettant de lancer, en plus du pare-feu principal, un nœud de secours, qui sera automatiquement synchronisé au niveau de la configuration et prendra en charge la charge en cas de défaillance du nœud principal. L'administrateur se voit proposer une interface Web pour configurer le pare-feu, construite à l'aide du framework Web Bootstrap et de Phalcon MVC.
Parmi les changements :
- La transition vers la base de code FreeBSD 15.1 est terminée (FreeBSD 14.3 était utilisé auparavant).
- Les interfaces permettant de configurer les règles de pare-feu, d'attribuer des interfaces réseau (en distinguant le LAN et le WAN) et de gérer les groupes de passerelles ont été migrées vers le framework MVC et sont désormais également accessibles via l'API Web pour automatiser la gestion de la configuration réseau.
- Ajout d'un assistant pour la migration des règles de traduction d'adresses de l'ancien format de configuration NAT sortant vers le nouveau format utilisant l'architecture Source NAT (SNAT).
- La prise en charge du DDNS (dynamique) et de l'allocation automatique des préfixes IPv6 (blocs d'adresses) a été ajoutée au configurateur DHCP de KEA.
- La prise en charge d'IPv6 a été ajoutée au portail captif.
- Versions mises à jour OpenVPN 2.7, PHP 8.5, Python 3.13.
- Une vulnérabilité critique (CVE-2026-57155, niveau de gravité 9.9 sur 10) a été corrigée. Cette vulnérabilité permettait à un utilisateur non privilégié, sans accès au shell et disposant d'un accès limité aux alias (listes de noms de réseau et d'hôtes), d'exécuter du code avec les privilèges root. Elle était due à un manque de vérifications adéquates lors du traitement des données de la base de données GeoIP, qui associe les pays aux adresses IP.
Le code pays issu de la base de données GeoIP a été substitué sans vérification lors de la génération du nom de fichier, permettant ainsi l'écrasement de n'importe quel fichier du système, le gestionnaire s'exécutant avec les privilèges root. Un utilisateur non privilégié pouvait utiliser l'API Web pour spécifier une URL permettant de télécharger une base de données GeoIP modifiée pour les alias. Pour obtenir les privilèges root, il était possible de spécifier « ../../../../../../../etc/newsyslog.conf.d/zzz_pwn » à la place du code pays dans l'une des entrées de la base de données. Ceci créait un fichier de configuration pour le système de rotation des journaux, permettant de définir des commandes exécutées avec les privilèges root.
Source: opennet.ru
