OPNsense 26.7 防火墙发行版已发布。它是 2015 年从 pfSense 项目中分叉而来,目标是开发一个完全开源的发行版,可以具有商业防火墙和网关解决方案的功能。与 pfSense 不同的是,该项目不受单一公司控制,由社区直接参与开发,开发过程完全透明,同时提供了在第三方产品中使用其开发成果的机会,包括商业的。分发组件的源代码以及用于组装的工具均根据 BSD 许可进行分发。该程序集以 LiveCD 和系统映像的形式准备,用于记录在闪存驱动器(490 MB)上。
该发行版的核心基于 FreeBSD 代码。OPNsense 的功能包括:完全开源的构建工具链、支持以软件包形式安装在常规 FreeBSD 之上、负载均衡工具、用于管理用户网络连接的 Web 界面(强制门户)、连接状态跟踪机制(基于 pf 的状态防火墙)、带宽限制系统、流量过滤以及基于 IPsec 的 VPN 创建。 OpenVPN 以及 PPTP、与 LDAP 和 RADIUS 的集成、DDNS(动态 DNS)支持、可视化报告和图表系统。
在分布的基础上,可以创建基于 CARP 协议的容错配置,并允许在主防火墙之外启动备份节点,该节点将在配置级别自动同步,并且一旦主节点发生故障,将接管负载。为管理员提供了一个用于配置防火墙的 Web 界面,该界面使用 Bootstrap Web 框架和 Phalcon MVC 构建。
其中的变化:
- 向 FreeBSD 15.1 代码库的过渡已经完成(之前使用的是 FreeBSD 14.3)。
- 用于配置防火墙规则、分配网络接口(区分 LAN 和 WAN)以及管理网关组的界面已迁移到使用 MVC 框架,现在还可以通过 Web API 访问,以实现网络配置管理的自动化。
- 添加了一个向导,用于将地址转换规则从旧的出站 NAT 配置格式迁移到使用源 NAT (SNAT) 架构的新格式。
- KEA DHCP 配置器已添加对 DDNS(动态)和 IPv6 前缀(地址块)自动分配的支持。
- 已在强制门户中添加 IPv6 支持。
- 更新版本 OpenVPN 2.7,PHP 8.5,Python 3.13。
- 一个严重漏洞(CVE-2026-57155,严重级别 9.9/10)已修复。该漏洞允许没有 shell 访问权限且别名(网络和主机名列表)访问权限有限的非特权用户以 root 权限执行代码。该漏洞是由于在处理 GeoIP 数据库中将国家/地区与 IP 地址关联起来的数据时缺乏适当的检查造成的。
在生成写入文件名时,未经验证就直接替换了 GeoIP 数据库中的国家/地区代码,导致系统中的任何文件都可能被覆盖,因为处理程序以 root 权限运行。非特权用户可以使用 Web API 指定 URL 来下载修改后的 GeoIP 数据库以创建别名。要获得 root 权限,可以在数据库条目中将国家/地区代码替换为“../../../../../../../../etc/newsyslog.conf.d/zzz_pwn”。这将创建一个日志轮换系统的配置文件,该文件可以定义以 root 权限运行的命令。
来源: opennet.ru
