Izdanje distribucijskog paketa za stvaranje vatrozida OPNsense 26.7

Izdana je distribucija vatrozida OPNsense 26.7. Izdvojena je iz projekta pfSense 2015. s ciljem razvoja distribucije potpuno otvorenog koda koja bi mogla imati funkcionalnost komercijalnih rješenja vatrozida i pristupnika. Za razliku od pfSensea, projekt je pozicioniran kao da ga ne kontrolira niti jedna tvrtka, razvijen uz izravno sudjelovanje zajednice i ima potpuno transparentan razvojni proces, kao i pruža mogućnost korištenja bilo kojeg njegovog razvoja u proizvodima trećih strana, uključujući one komercijalne. Izvorni kod komponenti distribucije, kao i alati korišteni za sklapanje, distribuiraju se pod BSD licencom. Sklopovi su pripremljeni u obliku LiveCD-a i slike sustava za snimanje na Flash pogone (490 MB).

Jezgra distribucije temelji se na FreeBSD kodu. Značajke OPNsensea uključuju: potpuno otvoreni alat za izgradnju, podršku za instalaciju kao paketa preko redovnog FreeBSD-a, alate za uravnoteženje opterećenja, web sučelje za organiziranje korisničkih veza s mrežom (Captive Portal), mehanizme za praćenje stanja veze (stateful firewall temeljen na pf-u), sustav za ograničavanje propusnosti, filtriranje prometa i stvaranje VPN-a temeljenog na IPsec-u. OpenVPN i PPTP, integracija s LDAP-om i RADIUS-om, podrška za DDNS (Dynamic DNS), sustav vizualnih izvješća i grafova.

Na temelju distribucije moguće je kreirati konfiguracije otporne na pogreške koje se temelje na korištenju CARP protokola i omogućuju pokretanje, uz glavni firewall, rezervnog čvora, koji će se automatski sinkronizirati na razini konfiguracije i će preuzeti opterećenje u slučaju kvara primarnog čvora. Administratoru se nudi web sučelje za konfiguriranje vatrozida, izgrađeno pomoću Bootstrap web frameworka i Phalcon MVC.

Među promjenama:

  • Prijelaz na kodnu bazu FreeBSD 15.1 je završen (prije se koristio FreeBSD 14.3).
  • Sučelja za konfiguriranje pravila vatrozida, dodjeljivanje mrežnih sučelja (razdvajanje između LAN i WAN mreže) i upravljanje grupama pristupnika migrirana su na korištenje MVC okvira i sada su dodatno dostupna putem web API-ja za automatizaciju upravljanja konfiguracijom mreže.
  • Dodan je čarobnjak za migraciju pravila prevođenja adresa iz starog formata konfiguracije Outbound NAT-a u novi format pomoću arhitekture Source NAT-a (SNAT).
  • U KEA DHCP konfigurator dodana je podrška za DDNS (dinamički) i automatsku dodjelu IPv6 prefiksa (blokova adresa).
  • Podrška za IPv6 dodana je na Captive portal.
  • Ažurirane verzije OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Ispravljena je kritična ranjivost (CVE-2026-57155, razina ozbiljnosti 9.9 od 10). Ova je ranjivost omogućila neprivilegiranom korisniku bez pristupa ljusci i ograničenog pristupa aliasima (popisima naziva mreža i hostova) izvršavanje koda s root privilegijama. Ranjivost je uzrokovana nedostatkom odgovarajućih provjera prilikom obrade podataka iz GeoIP baze podataka koja povezuje zemlje s IP adresama.

    Kod države iz GeoIP baze podataka zamijenjen je bez provjere prilikom generiranja naziva datoteke koja se zapisivala, što je omogućilo prepisivanje bilo koje datoteke u sustavu, budući da se program za obradu podataka pokreće s root privilegijama. Neprivilegirani korisnik mogao je koristiti Web API za određivanje URL-a za preuzimanje modificirane GeoIP baze podataka za aliase. Za dobivanje root privilegija, moglo bi se navesti "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" umjesto koda države u jednom od unosa u bazu podataka. To bi stvorilo konfiguracijsku datoteku za sustav rotacije zapisnika, koja bi mogla definirati naredbe koje se pokreću s root privilegijama.

Izvor: opennet.ru

Kupite pouzdan hosting za stranice s DDoS zaštitom, VPS VDS poslužiteljima 🔥 Kupite pouzdan web hosting sa DDoS zaštitom, VPS VDS servere | ProHoster