Uitgave van een distributiekit voor het maken van OPNsense 26.7-firewalls

De OPNsense 26.7 firewall-distributie is uitgebracht. Deze werd in 2015 geforkt van het pfSense-project met als doel een volledig open source-distributie te ontwikkelen die de functionaliteit van commerciële firewall- en gateway-oplossingen zou kunnen hebben. In tegenstelling tot pfSense wordt het project gepositioneerd als niet gecontroleerd door één enkel bedrijf, ontwikkeld met de directe deelname van de community en met een volledig transparant ontwikkelingsproces, en biedt het de mogelijkheid om al zijn ontwikkelingen te gebruiken in producten van derden, waaronder commerciële. De broncode van de distributiecomponenten en de tools die voor de assemblage worden gebruikt, worden gedistribueerd onder de BSD-licentie. De assemblages worden voorbereid in de vorm van een LiveCD en een systeemkopie voor opname op Flash drives (490 MB).

De kern van de distributie is gebaseerd op FreeBSD-code. OPNsense biedt de volgende functies: een volledig open-source build-toolchain, ondersteuning voor installatie als pakketten bovenop een reguliere FreeBSD-installatie, load balancing-tools, een webinterface voor het beheren van gebruikersverbindingen met het netwerk (Captive Portal), mechanismen voor het bijhouden van de verbindingsstatus (een stateful firewall gebaseerd op pf), een bandbreedtebeperkingssysteem, verkeersfiltering en het creëren van IPsec-gebaseerde VPN's. OpenVPN en PPTP, integratie met LDAP en RADIUS, DDNS (Dynamic DNS)-ondersteuning, een systeem voor visuele rapporten en grafieken.

Op basis van de distributie is het mogelijk om fouttolerante configuraties te creëren op basis van het gebruik van het CARP-protocol en om, naast de hoofdfirewall, een back-upknooppunt te starten, dat automatisch op configuratieniveau wordt gesynchroniseerd en neemt de belasting over bij uitval van het primaire knooppunt. De beheerder krijgt een webinterface aangeboden voor het configureren van de firewall, gebouwd met behulp van het Bootstrap-webframework en Phalcon MVC.

Onder de veranderingen:

  • De overstap naar de FreeBSD 15.1-codebasis is voltooid (voorheen werd FreeBSD 14.3 gebruikt).
  • Interfaces voor het configureren van firewallregels, het toewijzen van netwerkinterfaces (waarbij onderscheid wordt gemaakt tussen LAN en WAN) en het beheren van gatewaygroepen zijn gemigreerd naar het MVC-framework en zijn nu ook toegankelijk via de web-API voor het automatiseren van netwerkconfiguratiebeheer.
  • Er is een wizard toegevoegd voor het migreren van adresvertalingsregels van het oude Outbound NAT-configuratieformaat naar het nieuwe formaat met behulp van de Source NAT (SNAT)-architectuur.
  • Ondersteuning voor DDNS (dynamisch) en automatische toewijzing van IPv6-prefixes (adresblokken) is toegevoegd aan de KEA DHCP-configurator.
  • IPv6-ondersteuning is toegevoegd aan de captive portal.
  • Bijgewerkte versies OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Een kritieke kwetsbaarheid (CVE-2026-57155, ernstniveau 9.9 van de 10) is verholpen. Deze kwetsbaarheid stelde een gebruiker zonder shelltoegang en met beperkte toegang tot aliassen (lijsten met netwerk- en hostnamen) in staat om code met rootrechten uit te voeren. De kwetsbaarheid wordt veroorzaakt door een gebrek aan adequate controles bij het verwerken van gegevens uit de GeoIP-database die landen koppelt aan IP-adressen.

    De landcode uit de GeoIP-database werd zonder verificatie vervangen bij het genereren van de bestandsnaam, waardoor elk bestand in het systeem kon worden overschreven, aangezien de handler met rootrechten draait. Een gebruiker zonder rootrechten kon de web-API gebruiken om een ​​URL op te geven voor het downloaden van een aangepaste GeoIP-database voor aliassen. Om rootrechten te verkrijgen, kon men "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn" opgeven in plaats van de landcode in een van de databasevermeldingen. Dit zou een configuratiebestand voor het logrotatiesysteem creëren, waarin commando's konden worden gedefinieerd die met rootrechten moesten worden uitgevoerd.

Bron: opennet.ru

Koop betrouwbare hosting voor sites met DDoS-bescherming, VPS VDS-servers 🔥 Koop betrouwbare websitehosting met DDoS-bescherming, VPS- en VDS-servers | ProHoster