Release fan in distribúsje kit foar it meitsjen fan OPNsense 26.7 firewalls

De OPNsense 26.7-firewall-distribúsje is frijlitten. Oars as pfSense, wurdt it projekt gepositioneerd as net kontroleare troch ien bedriuw, ûntwikkele mei de direkte dielname fan 'e mienskip en hat in folslein transparant ûntwikkelingsproses, en biedt ek de kâns om ien fan syn ûntwikkelingen te brûken yn produkten fan tredden, ynklusyf kommersjele ones. De boarnekoade fan 'e distribúsjekomponinten, lykas de ark brûkt foar montage, wurde ferspraat ûnder de BSD-lisinsje. De gearkomsten wurde taret yn 'e foarm fan LiveCD en in systeemôfbylding foar opname op Flash-skiven (2015 MB).

De kearn fan 'e distribúsje is basearre op FreeBSD-koade. OPNsense-funksjes omfetsje: in folslein iepen boarne bou-toolchain, stipe foar ynstallaasje as pakketten boppe op reguliere FreeBSD, load balancing-ark, in webinterface foar it organisearjen fan brûkersferbiningen mei it netwurk (Captive Portal), ferbiningsstatus-trackingmeganismen (in stateful firewall basearre op pf), in bânbreedtebeheiningssysteem, ferkearsfilterjen en IPsec-basearre VPN-kreëarring. OpenVPN en PPTP, yntegraasje mei LDAP en RADIUS, DDNS (Dynamyske DNS) stipe, in systeem fan fisuele rapporten en grafiken.

Op basis fan 'e distribúsje is it mooglik om fouttolerante konfiguraasjes te meitsjen basearre op it gebrûk fan it CARP-protokol en wêrtroch, neist de haadbrânmuorre, in reservekopyknoop kin wurde lansearre, dy't automatysk sil wurde syngronisearre op it konfiguraasjenivo en sil oernimme de lading yn it gefal fan in mislearjen fan de primêre knooppunt. De behearder wurdt in webynterface oanbean foar it konfigurearjen fan de firewall, boud mei it Bootstrap-webkader en Phalcon MVC.

Under de feroarings:

  • De oergong nei de FreeBSD 15.1-koadebasis is foltôge (earder waard FreeBSD 14.3 brûkt).
  • Ynterfaces foar it konfigurearjen fan firewallregels, it tawizen fan netwurkynterfaces (skieding tusken LAN en WAN), en it behearen fan gatewaygroepen binne migrearre om it MVC-raamwurk te brûken en binne no ek tagonklik fia de Web API foar it automatisearjen fan netwurkkonfiguraasjebehear.
  • In wizard tafoege foar it migrearjen fan adresoersettingsregels fan it âlde Outbound NAT-konfiguraasjeformaat nei it nije formaat mei de Source NAT (SNAT)-arsjitektuer.
  • Stipe foar DDNS (Dynamysk) en automatyske tawizing fan IPv6-prefiksen (adresblokken) is tafoege oan de KEA DHCP-konfigurator.
  • IPv6-stipe is tafoege oan it Captive-portaal.
  • Updated ferzjes OpenVPN 2.7, PHP 8.5, Python 3.13.
  • In krityske kwetsberens (CVE-2026-57155, earnstnivo 9.9 fan de 10) is ferholpen. Dizze kwetsberens liet in net-privileezjeare brûker sûnder shell-tagong en beheinde tagong ta aliassen (listen mei netwurk- en hostnammen) koade útfiere mei root-privileezjes. De kwetsberens wurdt feroarsake troch in gebrek oan goede kontrôles by it ferwurkjen fan gegevens út 'e GeoIP-database dy't lannen assosjearret mei IP-adressen.

    De lânkoade fan 'e GeoIP-database waard sûnder ferifikaasje ferfongen by it generearjen fan 'e bestânsnamme dy't skreaun waard, wêrtroch't elk bestân yn it systeem oerskreaun wurde koe, om't de handler mei root-privileezjes rint. In net-privileezjeare brûker koe de Web API brûke om in URL op te jaan om in oanpaste GeoIP-database foar aliassen te downloaden. Om root-privileezjes te krijen, koe men "../../../../../../../etc/newsyslog.conf.d/zzz_pwn" opjaan ynstee fan 'e lânkoade yn ien fan' e database-yngongen. Dit soe in konfiguraasjetriem oanmeitsje foar it logrotaasjesysteem, dat kommando's koe definiearje dy't mei root-privileezjes útfierd wurde.

Boarne: opennet.ru

Keapje betroubere hosting foar siden mei DDoS-beskerming, VPS VDS-tsjinners 🔥 Keapje betroubere websidehosting mei DDoS-beskerming, VPS VDS-tsjinners | ProHoster