Izdaja distribucijskega kompleta za ustvarjanje požarnih zidov OPNsense 26.7

Izdana je bila distribucija požarnega zidu OPNsense 26.7. Razcepljena je bila iz projekta pfSense leta 2015 s ciljem razviti popolnoma odprtokodno distribucijo, ki bi lahko imela funkcionalnost komercialnih rešitev požarnega zidu in prehoda. Za razliko od pfSense je projekt postavljen tako, da ga ne nadzira eno samo podjetje, razvit z neposredno udeležbo skupnosti in ima popolnoma pregleden razvojni proces ter ponuja možnost uporabe katerega koli njegovega razvoja v izdelkih tretjih oseb, vključno z komercialne. Izvorna koda distribucijskih komponent in orodja, uporabljena za sestavljanje, se distribuirajo pod licenco BSD. Sestavi so pripravljeni v obliki LiveCD in sistemske slike za snemanje na bliskovne pogone (490 MB).

Jedro distribucije temelji na kodi FreeBSD. Funkcije OPNsense vključujejo: popolnoma odprtokodno orodje za gradnjo, podporo za namestitev kot paketov na navaden FreeBSD, orodja za uravnoteženje obremenitve, spletni vmesnik za organiziranje uporabniških povezav z omrežjem (Captive portal), mehanizme za sledenje stanja povezav (požarni zid s spremljanjem stanja, ki temelji na pf), sistem za omejevanje pasovne širine, filtriranje prometa in ustvarjanje VPN-jev na osnovi IPsec. OpenVPN in PPTP, integracija z LDAP in RADIUS, podpora za DDNS (dinamični DNS), sistem vizualnih poročil in grafov.

Na podlagi distribucije je mogoče ustvariti konfiguracije, odporne na napake, ki temeljijo na uporabi protokola CARP in omogočajo zagon, poleg glavnega požarnega zidu, rezervnega vozlišča, ki se samodejno sinhronizira na ravni konfiguracije in bo prevzel obremenitev v primeru okvare primarnega vozlišča. Skrbniku je na voljo spletni vmesnik za konfiguracijo požarnega zidu, zgrajen s pomočjo spletnega ogrodja Bootstrap in Phalcon MVC.

Med spremembami:

  • Prehod na kodno osnovo FreeBSD 15.1 je zaključen (prej je bil uporabljen FreeBSD 14.3).
  • Vmesniki za konfiguriranje pravil požarnega zidu, dodeljevanje omrežnih vmesnikov (ločevanje med LAN in WAN) in upravljanje skupin prehodov so bili preseljeni v ogrodje MVC in so zdaj dostopni tudi prek spletnega API-ja za avtomatizacijo upravljanja konfiguracije omrežja.
  • Dodan je bil čarovnik za selitev pravil prevajanja naslovov iz starega formata konfiguracije odhodnega NAT-a v novi format z uporabo arhitekture izvornega NAT-a (SNAT).
  • V konfigurator KEA DHCP je bila dodana podpora za DDNS (dinamično) in samodejno dodeljevanje predpon IPv6 (blokov naslovov).
  • V portal Captive je bila dodana podpora za IPv6.
  • Posodobljene različice OpenVPN 2.7, PHP 8.5, Python 3.13.
  • Odpravljena je bila kritična ranljivost (CVE-2026-57155, stopnja resnosti 9.9 od 10). Ta ranljivost je neprivilegiranemu uporabniku brez dostopa do lupine in omejenega dostopa do vzdevkov (seznamov omrežnih in gostiteljskih imen) omogočila izvajanje kode s korenskimi pravicami. Ranljivost povzroča pomanjkanje ustreznih preverjanj pri obdelavi podatkov iz baze podatkov GeoIP, ki povezuje države z naslovi IP.

    Koda države iz baze podatkov GeoIP je bila pri ustvarjanju imena zapisovane datoteke nadomeščena brez preverjanja, kar je omogočilo prepis katere koli datoteke v sistemu, saj se upravljalnik izvaja s korenskimi pravicami. Neprivilegiran uporabnik bi lahko s spletnim API-jem določil URL za prenos spremenjene baze podatkov GeoIP za vzdevke. Za pridobitev korenskih pravic bi lahko v enem od vnosov v bazo podatkov namesto kode države določil "../../../../../../../../etc/newsyslog.conf.d/zzz_pwn". To bi ustvarilo konfiguracijsko datoteko za sistem rotacije dnevnikov, ki bi lahko definirala ukaze, ki se izvajajo s korenskimi pravicami.

Vir: opennet.ru

Kupite zanesljivo gostovanje za strani z DDoS zaščito, VPS VDS strežniki 🔥 Kupite zanesljivo spletno gostovanje z zaščito DDoS, VPS VDS strežniki | ProHoster