Distribusi firewall OPNsense 26.7 wis diluncurake saka proyek pfSense ing taun 2015 kanthi tujuan ngembangake distribusi sumber terbuka sing bisa duwe fungsi solusi firewall lan gateway komersial. Ora kaya pfSense, proyek kasebut dipanggonke ora dikontrol dening siji perusahaan, dikembangake kanthi partisipasi langsung masyarakat lan duwe proses pangembangan sing transparan, uga menehi kesempatan kanggo nggunakake pangembangan apa wae ing produk pihak katelu, kalebu sing komersial. Kode sumber komponen distribusi, uga alat sing digunakake kanggo perakitan, disebarake miturut lisensi BSD. Majelis disiapake ing wangun LiveCD lan gambar sistem kanggo ngrekam ing Flash drive (490 MB).
Inti distribusi iki adhedhasar kode FreeBSD. Fitur OPNsense kalebu: toolchain build sumber terbuka, dhukungan kanggo instalasi minangka paket ing ndhuwur FreeBSD biasa, alat penyeimbang beban, antarmuka web kanggo ngatur sambungan pangguna menyang jaringan (Captive Portal), mekanisme pelacakan status sambungan (firewall stateful adhedhasar pf), sistem pembatas bandwidth, penyaringan lalu lintas, lan nggawe VPN berbasis IPsec. OpenVPN lan PPTP, integrasi karo LDAP lan RADIUS, dhukungan DDNS (Dynamic DNS), sistem laporan visual lan grafik.
Ing basis saka distribusi, iku bisa kanggo nggawe konfigurasi fault-tolerant adhedhasar nggunakake protokol CARP lan ngidini kanggo miwiti, saliyane kanggo firewall utama, simpul serep, kang bakal kanthi otomatis diselarasake ing tingkat konfigurasi lan bakal njupuk liwat mbukak ing acara saka Gagal saka simpul utami. Administrator ditawakake antarmuka web kanggo ngatur firewall, dibangun nggunakake kerangka web Bootstrap lan Phalcon MVC.
Ing antarane owah-owahan:
- Transisi menyang basis kode FreeBSD 15.1 wis rampung (sadurunge FreeBSD 14.3 digunakake).
- Antarmuka kanggo ngonfigurasi aturan firewall, menehi antarmuka jaringan (misahake antarane LAN lan WAN), lan ngatur grup gateway wis dimigrasi kanggo nggunakake framework MVC lan saiki bisa diakses liwat Web API kanggo ngotomatisasi manajemen konfigurasi jaringan.
- Wis ditambahake tuntunan kanggo mindhah aturan terjemahan alamat saka format konfigurasi Outbound NAT lawas menyang format anyar nggunakake arsitektur Source NAT (SNAT).
- Dhukungan kanggo DDNS (Dinamis) lan alokasi otomatis prefiks IPv6 (blok alamat) wis ditambahake menyang konfigurator DHCP KEA.
- Dhukungan IPv6 wis ditambahake menyang portal Captive.
- Versi dianyari OpenVPN 2.7, PHP 8.5, Python 3.13.
- Kerentanan kritis (CVE-2026-57155, tingkat keruwetan 9.9 saka 10) wis didandani. Kerentanan iki ngidini pangguna sing ora duwe hak istimewa tanpa akses shell lan akses winates menyang alias (dhaptar jeneng jaringan lan host) kanggo nglakokake kode kanthi hak akses root. Kerentanan iki disebabake dening kurang pamriksan sing tepat nalika ngolah data saka basis data GeoIP sing nggandhengake negara karo alamat IP.
Kode negara saka basis data GeoIP diganti tanpa verifikasi nalika nggawe jeneng file sing ditulis, saengga file apa wae ing sistem bisa ditulis ulang, amarga handler mbukak nganggo hak akses root. Pangguna sing ora duwe hak akses bisa nggunakake Web API kanggo nemtokake URL kanggo ndownload basis data GeoIP sing dimodifikasi kanggo alias. Kanggo entuk hak akses root, wong bisa nemtokake "../../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" tinimbang kode negara ing salah sawijining entri basis data. Iki bakal nggawe file konfigurasi kanggo sistem rotasi log, sing bisa nemtokake printah sing mlaku nganggo hak akses root.
Source: opennet.ru
